Menyelidiki aset
Microsoft Defender untuk Identitas memberi pengguna Microsoft Defender XDR bukti kapan pengguna, komputer, dan perangkat telah melakukan aktivitas mencurigakan atau menunjukkan tanda-tanda disusupi.
Artikel ini memberikan rekomendasi tentang cara menentukan risiko bagi organisasi Anda, memutuskan cara memulihkan, dan menentukan cara terbaik untuk mencegah serangan serupa di masa mendatang.
Langkah-langkah investigasi untuk pengguna yang mencurigakan
Catatan
Untuk informasi tentang cara menampilkan profil pengguna di Microsoft Defender XDR, lihat dokumentasi Microsoft Defender XDR.
Jika pemberitahuan atau insiden menunjukkan bahwa pengguna mungkin mencurigakan atau disusupi, periksa dan selidiki profil pengguna untuk detail dan aktivitas berikut:
Identitas pengguna
- Apakah pengguna adalah pengguna sensitif (seperti admin, atau pada daftar tonton, dll.)?
- Apa peran mereka dalam organisasi?
- Apakah mereka signifikan di pohon organisasi?
Selidiki aktivitas mencurigakan, seperti:
- Apakah pengguna memiliki pemberitahuan lain yang dibuka di Defender for Identity, atau di alat keamanan lain seperti Microsoft Defender untuk Titik Akhir, Microsoft Defender untuk Cloud, dan/atau aplikasi Microsoft Defender untuk Cloud?
- Apakah pengguna gagal masuk?
- Sumber daya mana yang diakses pengguna?
- Apakah pengguna mengakses sumber daya bernilai tinggi?
- Apakah pengguna seharusnya mengakses sumber daya yang mereka akses?
- Perangkat mana yang masuk pengguna?
- Apakah pengguna seharusnya masuk ke perangkat tersebut?
- Apakah ada jalur gerakan lateral (LMP) antara pengguna dan pengguna sensitif?
Gunakan jawaban atas pertanyaan-pertanyaan ini untuk menentukan apakah akun tampak disusupi atau apakah aktivitas mencurigakan menyiratkan tindakan berbahaya.
Temukan informasi identitas di area Microsoft Defender XDR berikut ini:
- Halaman detail identitas individual
- Halaman pemberitahuan individual atau detail insiden
- Halaman detail perangkat
- Kueri berburu tingkat lanjut
- Halaman Pusat tindakan
Misalnya, gambar berikut menunjukkan detail di halaman detail identitas:
Detail identitas
Saat menyelidiki identitas tertentu, Anda akan melihat detail berikut di halaman detail identitas:
| Area halaman detail identitas | Deskripsi |
|---|---|
| Tab Gambaran Umum | Data identitas umum, seperti tingkat risiko identitas Microsoft Entra, jumlah perangkat tempat pengguna masuk, ketika pengguna pertama kali dan terakhir terlihat, akun pengguna, dan informasi yang lebih penting. Gunakan tab Gambaran Umum untuk juga melihat grafik untuk insiden dan pemberitahuan, skor prioritas investigasi, pohon organisasi, tag entitas, dan garis waktu aktivitas yang dinilai. |
| Insiden dan pemberitahuan | Mencantumkan insiden aktif dan pemberitahuan yang melibatkan pengguna dari 180 hari terakhir, termasuk detail seperti tingkat keparahan pemberitahuan dan waktu pemberitahuan dibuat. |
| Diamati dalam organisasi | Termasuk sub-area berikut: - Perangkat: Perangkat tempat identitas masuk, termasuk sebagian besar dan paling sedikit digunakan dalam 180 hari terakhir. - Lokasi: Lokasi yang diamati identitas selama 30 hari terakhir. - Grup: Semua grup lokal yang diamati untuk identitas. - Jalur gerakan lateral - semua jalur gerakan lateral yang diprofilkan dari lingkungan lokal. |
| Garis waktu identitas | Garis waktu mewakili aktivitas dan pemberitahuan yang diamati dari identitas pengguna, menyatukan entri identitas di Microsoft Defender untuk Identitas, aplikasi Microsoft Defender untuk Cloud, dan Microsoft Defender untuk Titik Akhir. Gunakan garis waktu untuk fokus pada aktivitas yang dilakukan pengguna atau dilakukan pada mereka dalam jangka waktu tertentu. Pilih default 30 hari untuk mengubah rentang waktu ke nilai bawaan lain, atau ke rentang kustom. |
| Tindakan remediasi | Tanggapi pengguna yang disusupi dengan menonaktifkan akun mereka atau mengatur ulang kata sandi mereka. Setelah mengambil tindakan pada pengguna, Anda dapat memeriksa detail aktivitas di pusat Microsoft Defender XDR **Action. |
Untuk informasi selengkapnya, lihat Menyelidiki pengguna dalam dokumentasi Microsoft Defender XDR.
Langkah-langkah investigasi untuk grup yang mencurigakan
Jika penyelidikan pemberitahuan atau insiden terkait dengan grup Direktori Aktif, periksa entitas grup untuk detail dan aktivitas berikut:
Entitas grup
- Apakah grup adalah grup sensitif, seperti Admin Domain?
- Apakah grup menyertakan pengguna sensitif?
Selidiki aktivitas mencurigakan, seperti:
- Apakah grup memiliki pemberitahuan terkait yang dibuka lainnya di Defender for Identity, atau di alat keamanan lainnya seperti Microsoft Defender untuk Titik Akhir, Microsoft Defender untuk Cloud, dan/atau aplikasi Microsoft Defender untuk Cloud?
- Pengguna apa yang baru saja ditambahkan atau dihapus dari grup?
- Apakah grup baru-baru ini dikueri, dan oleh siapa?
Gunakan jawaban atas pertanyaan-pertanyaan ini untuk membantu dalam penyelidikan Anda.
Dari panel detail entitas grup, pilih Buka berburu atau Buka garis waktu untuk menyelidiki. Anda juga dapat menemukan informasi grup di area Microsoft Defender XDR berikut ini:
- Halaman pemberitahuan individual atau detail insiden
- Halaman detail perangkat atau pengguna
- Kueri berburu tingkat lanjut
Misalnya, gambar berikut menunjukkan garis waktu aktivitas Operator Server, termasuk pemberitahuan dan aktivitas terkait dari 180 hari terakhir:
Langkah-langkah investigasi untuk perangkat yang mencurigakan
Pemberitahuan Microsoft Defender XDR mencantumkan semua perangkat dan pengguna yang terhubung ke setiap aktivitas yang mencurigakan. Pilih perangkat untuk melihat halaman detail perangkat, lalu selidiki untuk detail dan aktivitas berikut:
Apa yang terjadi sekitar waktu aktivitas yang mencurigakan?
- Pengguna mana yang masuk ke perangkat?
- Apakah pengguna tersebut biasanya masuk atau mengakses perangkat sumber atau tujuan?
- Sumber daya mana yang diakses? Oleh pengguna mana? Jika sumber daya diakses, apakah sumber daya bernilai tinggi?
- Apakah pengguna seharusnya mengakses sumber daya tersebut?
- Apakah pengguna yang mengakses perangkat melakukan aktivitas mencurigakan lainnya?
Aktivitas yang lebih mencurigakan untuk diselidiki:
- Apakah pemberitahuan lain dibuka sekitar waktu yang sama dengan pemberitahuan ini di Defender for Identity, atau di alat keamanan lainnya seperti Microsoft Defender untuk Titik Akhir, Microsoft Defender untuk Cloud, dan/atau aplikasi Microsoft Defender untuk Cloud?
- Apakah ada proses masuk yang gagal?
- Apakah ada program baru yang disebarkan atau diinstal?
Gunakan jawaban atas pertanyaan-pertanyaan ini untuk menentukan apakah perangkat tampak disusupi atau apakah aktivitas mencurigakan menyiratkan tindakan berbahaya.
Misalnya, gambar berikut menunjukkan halaman detail perangkat:
Untuk informasi selengkapnya, lihat Menyelidiki perangkat dalam dokumentasi Microsoft Defender XDR.
Langkah berikutnya
- Menyelidiki Jalur Gerakan Lateral (LMP)
- Menyelidiki pengguna di Microsoft Defender XDR
- Menyelidiki insiden di Microsoft Defender XDR
Tip
Coba panduan interaktif kami: Selidiki dan tanggapi serangan dengan Microsoft Defender untuk Identitas