Panduan operasi keamanan Microsoft Entra

Microsoft memiliki pendekatan yang berhasil dan terbukti terhadap keamanan Zero Trust menggunakan prinsip Pertahanan Mendalam yang memanfaatkan identitas sebagai sarana kontrol. Organisasi terus merangkul dunia beban kerja hibrid untuk skala, penghematan biaya, dan keamanan. MICROSOFT Entra ID memainkan peran penting dalam strategi Anda untuk manajemen identitas. Baru-baru ini, berita seputar identitas dan kompromi keamanan semakin mendorong TI perusahaan untuk mempertimbangkan postur keamanan identitas mereka sebagai pengukuran keberhasilan keamanan defensif.

Semakin banyak, organisasi harus merangkul campuran aplikasi lokal dan cloud, yang bisa diakses pengguna baik dengan akun lokal maupun akun cloud saja. Mengelola pengguna, aplikasi, dan perangkat baik lokal maupun di cloud menimbulkan skenario yang menantang.

Identitas hibrida

MICROSOFT Entra ID membuat identitas pengguna umum untuk autentikasi dan otorisasi ke semua sumber daya, terlepas dari lokasinya. Kami menyebutnya identitas hibrida.

Untuk mencapai identitas hibrid dengan ID Microsoft Entra, salah satu dari tiga metode autentikasi dapat digunakan, tergantung pada skenario Anda. Tiga metode tersebut adalah:

• Sinkronisasi hash kata sandi (PHS)
• Autentikasi Pass-Through (PTA)
• Federasi (Layanan Federasi Direktori Aktif)

Saat Anda mengaudit operasi keamanan Anda saat ini atau menetapkan operasi keamanan untuk lingkungan Azure Anda, kami sarankan Anda:

• Membaca bagian-bagian tertentu dari panduan keamanan Microsoft untuk menetapkan garis besar pengetahuan tentang mengamankan lingkungan Azure berbasis cloud atau hibrid Anda.
• Mengaudit strategi akun dan kata sandi Anda dan metode autentikasi untuk membantu mencegah vektor serangan yang paling umum.
• Membuat strategi untuk pemantauan dan peringatan berkelanjutan tentang aktivitas yang mungkin mengindikasikan ancaman keamanan.

Audiens

Panduan Microsoft Entra SecOps ditujukan untuk tim operasi identitas dan keamanan TI perusahaan dan penyedia layanan terkelola yang perlu melawan ancaman melalui konfigurasi keamanan identitas dan profil pemantauan yang lebih baik. Panduan ini sangat relevan bagi administrator TI dan arsitek identitas yang menyarankan tim pengujian defensif dan penetrasi Security Operations Center (SOC) untuk meningkatkan dan mempertahankan postur keamanan identitas mereka.

Cakupan

Pengantar ini memberikan rekomendasi audit dan strategi pra-baca dan kata sandi yang disarankan. Artikel ini juga memberikan gambaran umum tentang alat yang tersedia untuk lingkungan Azure hibrid serta lingkungan Azure yang sepenuhnya berbasis cloud. Akhirnya, kami menyediakan daftar sumber data yang dapat Anda gunakan untuk memantau dan memperingatkan dan mengonfigurasi strategi informasi keamanan dan manajemen peristiwa keamanan (SIEM) Anda dengan lingkungan. Bagian berikutnya panduan ini menyajikan strategi pemantauan dan pemberitahuan di area berikut:

• Akun pengguna. Panduan khusus untuk akun pengguna yang tidak memiliki hak istimewa tanpa hak administratif, termasuk pembuatan dan penggunaan akun yang tidak wajar, dan upaya masuk yang tidak biasa.

• Akun dengan Hak Istimewa. Panduan khusus untuk akun pengguna istimewa yang memiliki izin level tinggi untuk melakukan tugas administratif. Tugas termasuk penetapan peran Microsoft Entra, penetapan peran sumber daya Azure, dan manajemen akses untuk sumber daya dan langganan Azure.

• Privileged Identity Management (PIM). Panduan khusus menggunakan PIM untuk mengelola, mengontrol, dan memantau akses ke sumber daya.

• Aplikasi. Panduan khusus untuk akun yang digunakan untuk menyediakan autentikasi aplikasi.

• Perangkat. Panduan khusus untuk memantau dan memperingatkan perangkat yang terdaftar atau bergabung di luar kebijakan, penggunaan yang tidak taat aturan, mengelola peran administrasi perangkat, dan upaya masuk ke mesin virtual.

• Infrastruktur. Panduan khusus untuk memantau dan memperingatkan ancaman terhadap lingkungan Anda baik yang berbasis hibrid maupun yang murni berbasis cloud.

Konten referensi penting

Microsoft memiliki banyak produk dan layanan yang memungkinkan Anda menyesuaikan lingkungan TI Anda agar sesuai dengan kebutuhan Anda. Kami sarankan agar Anda meninjau panduan berikut untuk lingkungan operasi Anda:

• Sistem operasi Windows

  • Garis besar keamanan (FINAL) untuk Windows 10 v1909 dan Windows Server v1909
  • Garis dasar keamanan untuk Windows 11
  • Garis dasar keamanan untuk Windows Server 2022

• Lingkungan lokal

  • Pertahanan Microsoft untuk arsitektur Identitas
  • mulai cepat Menyambungkan Pertahanan Microsoft untuk Identitas ke Layanan Domain Active Directory
  • Garis besar keamanan Pertahanan Microsoft untuk Identitas
  • Memantau Direktori Aktif untuk Tanda-tanda Risiko

• Lingkungan Azure berbasis cloud

  • Memantau rincian masuk dengan log masuk Microsoft Entra
  • Laporan aktivitas audit di portal Azure
  • Menyelidiki risiko dengan Microsoft Entra ID Protection
  • Koneksi data Microsoft Entra ID Protection ke Microsoft Azure Sentinel

• Active Directory Domain Services (AD DS)

  • Rekomendasi Kebijakan Audit

• Active Directory Federation Services (AD FS)

  • Pemecahan Masalah Layanan Federasi Direktori Aktif - Mengaudit Peristiwa dan Pengelogan

Sumber data

File log yang Anda gunakan untuk menyelidiki dan memantau adalah:

• Log audit Microsoft Entra
• Log masuk
• Log Audit Microsoft 365
• Log Azure Key Vault

Dari portal Azure, Anda dapat melihat log audit Microsoft Entra. Unduh log sebagai nilai yang dipisahkan oleh koma(CSV) atau sebagai file JavaScript Object Notation (JSON). portal Azure memiliki beberapa cara untuk mengintegrasikan log Microsoft Entra dengan alat lain yang memungkinkan otomatisasi pemantauan dan peringatan yang lebih besar:

• Microsoft Sentinel - Mengaktifkan analitik keamanan cerdas pada tingkat perusahaan dengan menyediakan informasi keamanan dan kemampuan manajemen peristiwa (SIEM).

• Aturan sigma - Sigma adalah standar terbuka yang berkembang untuk menulis aturan dan templat yang dapat digunakan alat manajemen otomatis untuk mengurai file log. Di mana templat Sigma ada untuk kriteria pencarian yang kami rekomendasikan, kami telah menambahkan link ke repositori Sigma. Templat Sigma tidak ditulis, diuji, dan dikelola oleh Microsoft. Sebaliknya, repositori dan templat dibuat serta dikumpulkan oleh komunitas keamanan TI di seluruh dunia.

• Azure Monitor - Mengaktifkan pemantauan dan peringatan otomatis dari berbagai kondisi. Dapat membuat atau menggunakan buku kerja untuk menggabungkan data dari sumber yang berbeda.

• Azure Event Hubs terintegrasi dengan SIEM. Log Microsoft Entra dapat diintegrasikan ke SIEM lain seperti Splunk, ArcSight, QRadar, dan Sumo Logic melalui integrasi Azure Event Hubs. Untuk informasi selengkapnya, lihat Mengalirkan log Microsoft Entra ke hub peristiwa Azure.

• Aplikasi Microsoft Defender untuk Cloud - Memungkinkan Anda untuk menemukan dan mengelola aplikasi, mengatur seluruh aplikasi dan sumber daya, serta memeriksa kepatuhan aplikasi cloud Anda.

• Mengamankan identitas beban kerja dengan Pratinjau Perlindungan Identitas - Digunakan untuk mendeteksi risiko pada identitas beban kerja di seluruh perilaku masuk dan indikator penyusupan offline.

Sebagian besar yang akan Anda pantau dan beri tahukan adalah efek dari kebijakan Akses Bersyarat Anda. Anda dapat menggunakan Wawasan Akses Bersyarat dan buku kerja pelaporan untuk memeriksa efek dari satu atau lebih kebijakan Akses Bersyarat pada upaya masuk, dan hasil kebijakan termasuk kondisi perangkat Anda. Buku kerja ini memungkinkan Anda melihat ringkasan dampak, dan mengidentifikasi dampak selama periode waktu tertentu. Anda juga dapat menggunakan buku kerja untuk menyelidiki proses masuk pengguna tertentu. Untuk informasi selengkapnya, lihat Wawasan Akses Bersyarat dan pelaporan.

Bagian selanjutnya dari artikel ini menjelaskan apa yang perlu Anda pantau dan waspadai. Di mana ada solusi tertentu yang dibuat sebelumnya, kami tautkan ke solusi tersebut atau menyediakan sampel setelah tabel. Atau, Anda dapat membangun pemberitahuan menggunakan alat sebelumnya.

• Perlindungan Identitas menghasilkan tiga laporan utama yang dapat Anda gunakan untuk membantu penyelidikan:

• Pengguna berisiko berisi informasi tentang pengguna mana yang berisiko, rincian tentang deteksi, riwayat semua akses masuk berisiko, dan riwayat risiko.

• Rincian masuk berisiko – berisi informasi seputar keadaan upaya masuk yang mungkin menunjukkan keadaan yang mencurigakan. Untuk informasi tambahan tentang menyelidiki informasi dari laporan ini, lihat Bagaimana Cara: Menyelidiki risiko.

• Deteksi risiko berisi informasi tentang sinyal risiko yang terdeteksi oleh Microsoft Entra ID Protection yang menginformasikan risiko masuk dan pengguna. Untuk informasi selengkapnya, lihat panduan operasi keamanan Microsoft Entra untuk akun pengguna.

Untuk informasi selengkapnya, lihat Apa itu Perlindungan Identitas.

Sumber data untuk pemantauan pengontrol domain

Untuk hasil terbaik, kami sarankan Anda memantau pengontrol domain Anda menggunakan Pertahanan Microsoft untuk Identitas. Pendekatan ini memungkinkan kemampuan deteksi dan otomatisasi terbaik. Ikuti panduan dari sumber daya ini:

• Pertahanan Microsoft untuk arsitektur Identitas
• mulai cepat Menyambungkan Pertahanan Microsoft untuk Identitas ke Layanan Domain Active Directory

Jika Anda tidak berencana menggunakan Pertahanan Microsoft untuk Identitas, pantau pengendali domain Anda dengan salah satu pendekatan berikut:

• Pesan log peristiwa. Lihat Memantau Active Directory untuk Tanda-tanda Penyusupan.
• Cmdlet Powershell. Lihat Pemecahan Masalah Penyebaran Pengendali Domain.

Komponen autentikasi hibrid

Sebagai bagian dari lingkungan hibrid Azure, beberapa hal berikut harus dijadikan panduan dan disertakan dalam strategi pemantauan dan peringatan Anda.

• Agen PTA - Agen autentikasi pass-through digunakan untuk mengaktifkan autentikasi pass-through dan dipasang secara lokal. Lihat Agen autentikasi pass-through Microsoft Entra: Riwayat rilis versi untuk informasi tentang memverifikasi versi agen Anda dan langkah berikutnya.

• Ad FS/WAP - Layanan Federasi Direktori Aktif (Azure AD FS) dan Web Proksi Aplikasi (WAP) memungkinkan berbagi identitas digital dan hak hak yang aman di seluruh batas keamanan dan perusahaan Anda. Untuk informasi tentang praktik terbaik keamanan, lihat Praktik terbaik untuk mengamankan Layanan Federasi Direktori Aktif.

• Microsoft Entra Koneksi Health Agent - Agen yang digunakan untuk menyediakan tautan komunikasi untuk Microsoft Entra Koneksi Health. Untuk informasi tentang menginstal agen, lihat Penginstalan agen Microsoft Entra Koneksi Health.

• Microsoft Entra Koneksi Sync Engine - Komponen lokal, juga disebut mesin sinkronisasi. Untuk informasi tentang fitur ini, lihat Fitur layanan Microsoft Entra Koneksi Sync.

• Agen DC Perlindungan Kata Sandi - Agen DC perlindungan kata sandi Azure digunakan untuk membantu memantau dan melaporkan pesan log peristiwa. Untuk informasi, lihat Menerapkan Perlindungan Kata Sandi Microsoft Entra lokal untuk Active Directory Domain Services.

• DLL Filter Kata Sandi - DLL filter kata sandi dari Agen DC menerima permintaan validasi kata sandi pengguna dari sistem operasi. Filter meneruskannya ke layanan Agen DC yang berjalan secara lokal di DC. Untuk informasi tentang penggunaan DLL, lihat Menerapkan Perlindungan Kata Sandi Microsoft Entra lokal untuk Layanan Domain Direktori Aktif.

• Agen Tulis Balik Kata Sandi - Tulis balik kata sandi adalah fitur yang diaktifkan dengan Microsoft Entra Koneksi yang memungkinkan perubahan kata sandi di cloud ditulis kembali ke direktori lokal yang ada secara real time. Untuk informasi selengkapnya tentang fitur ini, lihat Bagaimana cara kerja penulisan balik pengaturan ulang kata sandi mandiri di ID Microsoft Entra.

• Konektor jaringan privat Microsoft Entra - Agen ringan yang berada di tempat dan memfasilitasi koneksi keluar ke layanan Proksi Aplikasi. Untuk informasi selengkapnya, lihat Memahami konektor jaringan privat Microsoft Entra.

Komponen autentikasi berbasis cloud

Sebagai bagian dari lingkungan berbasis-cloud Azure, hal-hal berikut harus diperhatikan dan dimasukkan dalam strategi pemantauan dan peringatan Anda.

• Proksi aplikasi Microsoft Entra - Layanan cloud ini menyediakan akses jarak jauh yang aman ke aplikasi web lokal. Untuk informasi selengkapnya, lihat Akses jarak jauh ke aplikasi lokal melalui proksi aplikasi Microsoft Entra.

• Microsoft Entra Koneksi - Layanan yang digunakan untuk solusi Microsoft Entra Koneksi. Untuk informasi selengkapnya, lihat Apa itu Microsoft Entra Koneksi.

• Microsoft Entra Koneksi Health - Service Health memberi Anda dasbor yang dapat disesuaikan yang melacak kesehatan layanan Azure Anda di wilayah tempat Anda menggunakannya. Untuk informasi selengkapnya, lihat Microsoft Entra Koneksi Health.

• Autentikasi multifaktor Microsoft Entra - autentikasi multifaktor mengharuskan pengguna untuk memberikan lebih dari satu bentuk bukti untuk autentikasi. Pendekatan ini dapat memberikan langkah pertama yang proaktif untuk mengamankan lingkungan Anda. Untuk informasi selengkapnya, lihat Autentikasi multifaktor Microsoft Entra.

• Grup dinamis - Konfigurasi dinamis keanggotaan grup keamanan untuk Administrator Microsoft Entra dapat mengatur aturan untuk mengisi grup yang dibuat di ID Microsoft Entra berdasarkan atribut pengguna. Untuk informasi selengkapnya, lihat Grup dinamis dan kolaborasi Microsoft Entra B2B.

• Akses Bersyarat - Akses Bersyarat adalah alat yang digunakan oleh MICROSOFT Entra ID untuk menyaingkan sinyal, membuat keputusan, dan menerapkan kebijakan organisasi. Akses Bersyarat adalah inti dari bidang kontrol yang digerakkan oleh identitas baru. Untuk informasi selengkapnya, lihat Apa itu Akses Bersyarat.

• Perlindungan Identitas - Alat yang memungkinkan organisasi mengotomatisasi deteksi dan perbaikan risiko berbasis identitas, menyelidiki risiko menggunakan data di dalam portal, serta mengekspor data deteksi risiko ke SIEM Anda. Untuk informasi selengkapnya, lihat Apa itu Perlindungan Identitas.

• Pemberian lisensi berbasis grup - Lisensi dapat diberikan ke grup, bukan ke pengguna secara langsung. ID Microsoft Entra menyimpan informasi tentang status penetapan lisensi untuk pengguna.

• Layanan Provisi - Provisi mengacu pada pembuatan identitas dan peran pengguna dalam aplikasi cloud yang perlu diakses pengguna. Selain membuat identitas pengguna, provisi otomatis mencakup pemeliharaan dan penghapusan identitas pengguna saat status atau peran berubah. Untuk informasi selengkapnya, lihat Cara kerja Provisi Aplikasi di MICROSOFT Entra ID.

• API Graph - API Microsoft Graph adalah API web RESTful yang memungkinkan Anda mengakses sumber daya layanan Cloud Microsoft. Setelah mendaftarkan aplikasi dan mendapat token autentikasi untuk pengguna atau layanan, Anda dapat membuat permintaan ke Microsoft Graph API. Untuk informasi selengkapnya, lihat Gambaran Umum Microsoft Graph.

• Layanan Domain - Microsoft Entra Domain Services (AD DS) menyediakan layanan domain terkelola seperti gabungan domain, kebijakan grup. Untuk informasi selengkapnya, lihat Apa itu Microsoft Entra Domain Services.

• Azure Resource Manager - Azure Resource Manager adalah penyebaran dan layanan manajemen untuk Azure. Azure Resource Manager menyediakan lapisan manajemen yang memungkinkan Anda membuat, memperbarui, dan menghapus sumber daya di akun Azure Anda. Untuk informasi selengkapnya, lihat Apa itu Azure Resource Manager?.

• Identitas terkelola - Identitas terkelola menghilangkan kebutuhan pengembang untuk mengelola info masuk. Identitas terkelola menyediakan identitas untuk digunakan aplikasi saat menyambungkan ke sumber daya yang mendukung autentikasi Microsoft Entra. Untuk informasi selengkapnya, lihat Apa yang dimaksud dengan identitas terkelola untuk sumber daya Azure.

• Privileged Identity Management - PIM adalah layanan di MICROSOFT Entra ID yang memungkinkan Anda mengelola, mengontrol, dan memantau akses ke sumber daya penting di organisasi Anda. Untuk informasi selengkapnya, lihat Apa itu Microsoft Entra Privileged Identity Management.

• Tinjauan akses - Tinjauan akses Microsoft Entra memungkinkan organisasi mengelola keanggotaan grup, akses ke aplikasi perusahaan, dan penetapan peran secara efisien. Akses pengguna dapat ditinjau secara berkala untuk memastikan bahwa hanya orang yang tepat yang memiliki akses berkelanjutan. Untuk informasi selengkapnya, lihat Apa itu tinjauan akses Microsoft Entra.

• Pengelolaan pemberian izin - Pengelolaan pemberian izin Microsoft Entra adalah fitur tata kelola identitas. Organisasi dapat mengelola identitas dan mengakses siklus hidup dalam skala besar, dengan mengotomatiskan alur kerja permintaan akses, penetapan akses, ulasan, dan kedaluwarsa. Untuk informasi selengkapnya, lihat Apa itu pengelolaan pemberian izin Microsoft Entra.

• Log aktivitas - Log aktivitas adalah log platform Azure yang memberikan wawasan tentang peristiwa tingkat langganan. Log ini termasuk informasi seperti ketika sumber daya dimodifikasi atau ketika mesin virtual dihidupkan. Untuk informasi selengkapnya, lihat log aktivitas Azure.

• Layanan pengaturan ulang kata sandi mandiri - Pengaturan ulang kata sandi mandiri (SSPR) Microsoft Entra memberi pengguna kemampuan untuk mengubah atau mengatur ulang kata sandi mereka. Administrator atau staf dukungan tidak diperlukan. Untuk informasi selengkapnya, lihat Cara kerjanya: Reset kata sandi mandiri Microsoft Entra.

• Layanan perangkat - Manajemen identitas perangkat adalah fondasi untukAkses Bersyarat berbasis perangkat. Dengan kebijakan Akses Bersyarat berbasis perangkat, Anda dapat memastikan bahwa akses ke sumber daya di lingkungan hanya memungkinkan dengan perangkat terkelola. Untuk informasi selengkapnya, lihat Apa itu identitas perangkat.

• Manajemen grup layanan mandiri - Anda dapat memungkinkan pengguna untuk membuat dan mengelola grup keamanan mereka sendiri atau grup Microsoft 365 di ID Microsoft Entra. Pemilik grup dapat menyetujui atau menolak permintaan keanggotaan, dan dapat mendelegasikan kontrol keanggotaan grup. Fitur pengelolaan grup layanan mandiri tidak tersedia untuk grup keamanan atau daftar distribusi yang didukung email. Untuk informasi selengkapnya, lihat Menyiapkan manajemen grup layanan mandiri di ID Microsoft Entra.

• Deteksi risiko - Berisi informasi tentang risiko lain yang dipicu saat risiko terdeteksi dan informasi terkait lainnya seperti lokasi masuk dan detail apa pun dari Aplikasi Microsoft Defender untuk Cloud.

Langkah berikutnya

Lihat artikel panduan operasi keamanan ini:

Operasi keamanan untuk akun pengguna

Operasi keamanan untuk akun konsumen

Operasi keamanan untuk akun istimewa

Operasi keamanan untuk Privileged Identity Management

Operasi keamanan untuk aplikasi

Operasi keamanan untuk perangkat

Operasi keamanan untuk infrastruktur