Apa yang dimaksud dengan Microsoft Entra ID Protection?
Microsoft Entra ID Protection membantu organisasi mendeteksi, menyelidiki, dan memulihkan risiko berbasis identitas. Risiko ini dapat disalurkan ke alat seperti Akses Bersyarat untuk membuat keputusan akses atau dikirim ke alat informasi keamanan dan manajemen peristiwa (SIEM) untuk penyelidikan dan korelasi lebih lanjut.
Mendeteksi risiko
Microsoft terus menambahkan dan memperbarui deteksi di katalog kami untuk melindungi organisasi. Deteksi ini berasal dari pembelajaran kami berdasarkan analisis triliunan sinyal setiap hari dari Direktori Aktif, Akun Microsoft, dan dalam game dengan Xbox. Berbagai sinyal ini membantu Perlindungan ID mendeteksi perilaku berisiko seperti:
- Penggunaan alamat IP anonim
- Serangan semprotan kata sandi
- Kredensial yang bocor
- dan banyak lagi...
Selama setiap masuk, Perlindungan ID menjalankan semua deteksi masuk secara real-time, menghasilkan tingkat risiko yang menunjukkan seberapa besar kemungkinan masuk tersebut disusupi. Berdasarkan tingkat risiko ini, kebijakan diterapkan untuk melindungi pengguna dan organisasi.
Untuk daftar lengkap risiko dan bagaimana risiko terdeteksi, lihat artikel Apa itu risiko.
Menyelidiki
Setiap risiko yang terdeteksi pada identitas dilacak dengan pelaporan. Id Protection menyediakan tiga laporan utama bagi administrator untuk menyelidiki risiko dan mengambil tindakan:
- Deteksi risiko: Setiap risiko yang terdeteksi dilaporkan sebagai deteksi risiko.
- Masuk berisiko: Proses masuk berisiko dilaporkan ketika ada satu atau beberapa deteksi risiko untuk proses masuk tersebut.
-
Pengguna berisiko: Pengguna berisiko dilaporkan ketika salah satu atau kedua hal berikut ini benar:
- Pengguna mengalami satu atau beberapa proses masuk yang berisiko.
- Satu atau beberapa deteksi risiko telah dilaporkan.
Untuk informasi selengkapnya tentang cara menggunakan laporan, lihat artikel Cara: Menyelidiki risiko.
Memulihkan risiko
Mengapa automasi sangat penting dalam keamanan?
Dalam posting blog Sinyal Cyber: Membela terhadap ancaman cyber dengan penelitian, wawasan, dan tren terbaru tanggal 3 Februari 2022, Microsoft berbagi ringkasan inteligensi ancaman termasuk statistik berikut:
Dianalisis... Sinyal keamanan 24 triliun dikombinasikan dengan intelijen yang kami lacak dengan memantau lebih dari 40 kelompok negara bagian dan lebih dari 140 kelompok ancaman...
... Dari Januari 2021 hingga Desember 2021, kami telah memblokir lebih dari 25,6 miliar serangan autentikasi brute force Microsoft Entra...
Skala sinyal dan serangan membutuhkan otomatisasi untuk mengikuti.
Remediasi otomatis
Kebijakan Akses Bersyarat berbasis risiko dapat diaktifkan untuk memerlukan kontrol akses seperti menyediakan metode autentikasi yang kuat, melakukan autentikasi multifaktor, atau melakukan reset kata sandi yang aman berdasarkan tingkat risiko yang terdeteksi. Jika pengguna berhasil menyelesaikan kontrol akses, risiko akan diperbaiki secara otomatis.
Remediasi manual
Saat remediasi pengguna tidak diaktifkan, admin harus meninjaunya secara manual dalam laporan di portal, melalui API, atau di Pertahanan Microsoft 365. Para admin dapat melakukan tindakan manual untuk menghapus, mengonfirmasi aman, atau mengonfirmasi kompromi pada risiko.
Memanfaatkan data
Data dari Perlindungan ID dapat diekspor ke alat lain untuk arsip, penyelidikan lebih lanjut, dan korelasi. API berbasis Microsoft Graph memungkinkan organisasi untuk mengumpulkan data ini untuk pemrosesan lebih lanjut dalam alat seperti SIEM mereka. Informasi tentang cara mengakses ID Protection API dapat ditemukan di artikel, Mulai menggunakan Microsoft Entra ID Protection dan Microsoft Graph
Informasi mengenai integrasi Perlindungan ID dengan Microsoft Sentinel dapat ditemukan di artikel, Menyambungkan data dari Microsoft Entra ID Protection.
Organisasi mungkin menyimpan data untuk jangka waktu yang lebih lama dengan mengubah pengaturan diagnostik di ID Microsoft Entra. Mereka dapat memilih untuk mengirim data ke ruang kerja Analitik Log, mengarsipkan data ke akun penyimpanan, mengalirkan data ke Azure Event Hubs, atau mengirim data ke solusi lain. Informasi terperinci tentang cara melakukannya dapat ditemukan dalam artikel, Cara: Data risiko ekspor.
Peran yang Diperlukan
Perlindungan ID mengharuskan pengguna ditetapkan satu atau beberapa peran berikut.
| Peran | Bisa | Tidak bisa |
|---|---|---|
| Administrator Keamanan | Akses penuh ke Perlindungan ID | Mengatur ulang kata sandi untuk pengguna |
| Operator Keamanan | Lihat semua laporan dan Gambaran Umum Perlindungan ID Menghilangkan risiko pengguna, mengonfirmasi login dengan aman, mengonfirmasi penyusupan |
Mengonfigurasi atau mengubah kebijakan Mereset kata sandi untuk pengguna Mengonfigurasi pemberitahuan |
| Pembaca Keamanan | Lihat semua laporan dan Gambaran Umum Perlindungan ID | Mengonfigurasi atau mengubah kebijakan Mereset kata sandi untuk pengguna Mengonfigurasi pemberitahuan Memberikan umpan balik tentang deteksi |
| Pembaca Global | Akses baca-saja ke Perlindungan ID | |
| Administrator Pengguna | Mengatur ulang sandi pengguna |
Saat ini, peran Operator Keamanan tidak dapat mengakses laporan sesi masuk berisiko.
Administrator Akses Bersyarat dapat membuat kebijakan yang memperhitungkan risiko pengguna atau masuk sebagai kondisi. Temukan informasi selengkapnya dalam artikel Akses Bersyarat: Ketentuan.
Persyaratan lisensi
Menggunakan fitur ini memerlukan lisensi Microsoft Entra ID P2. Untuk menemukan lisensi yang tepat untuk kebutuhan Anda, lihat Membandingkan fitur Microsoft Entra ID yang tersedia secara umum.
| Kemampuan | Rincian | Microsoft Entra ID Gratis / Aplikasi Microsoft 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|
| Kebijakan risiko | Kebijakan masuk dan risiko pengguna (melalui Perlindungan ID atau Akses Bersyarat) | Tidak | Tidak | Ya |
| Laporan keamanan | Gambaran Umum | Tidak | Tidak | Ya |
| Laporan keamanan | Pengguna berisiko | Informasi Terbatas. Hanya pengguna dengan risiko sedang dan tinggi yang ditampilkan. Tidak ada jendela detail atau riwayat risiko. | Informasi Terbatas. Hanya pengguna dengan risiko sedang dan tinggi yang ditampilkan. Tidak ada jendela detail atau riwayat risiko. | Akses penuh |
| Laporan keamanan | Proses masuk riskan | Informasi Terbatas. Tidak ada detail risiko atau tingkat risiko yang ditampilkan. | Informasi Terbatas. Tidak ada detail risiko atau tingkat risiko yang ditampilkan. | Akses penuh |
| Laporan keamanan | Pendektesian Risiko | Tidak | Informasi Terbatas. Tidak ada panel detail. | Akses penuh |
| Notifikasi | Peringatan terdeteksi untuk pengguna yang berisiko | Tidak | Tidak | Ya |
| Notifikasi | Ringkasan mingguan | Tidak | Tidak | Ya |
| Kebijakan pendaftaran MFA | Tidak | Tidak | Ya |
Informasi lebih lanjut tentang laporan kaya ini dapat ditemukan di artikel, Cara: Menginvestigasi risiko.
Untuk menggunakan risiko identitas beban kerja, termasuk tab Identitas Beban Kerja Berisiko dan Deteksi Identitas Beban Kerja di dalam panel Deteksi Risiko di pusat admin, Anda memerlukan lisensi Premium untuk Identitas Beban Kerja. Untuk informasi selengkapnya, lihat artikel Mengamankan identitas beban kerja.