Setiap kali pengguna melakukan autentikasi ke layanan cloud Microsoft, sistem akan otomatis mencatat aktivitas tersebut dalam berbagai log keamanan. Dua di antaranya yang paling sering digunakan adalah Microsoft Entra sign-in logs dan Microsoft 365 audit logs.
Baca Juga : Update Windows 11 24H2 Bikin Mouse dan Keyboard Tidak Berfungsi di Recovery Mode!
Sekilas, keduanya mencatat peristiwa autentikasi yang sama, tetapi menggunakan format data yang berbeda. Nah, di sinilah tantangan muncul bagi tim keamanan yang sedang melakukan investigasi insiden.
Masalah yang Dihadapi Tim Keamanan
Dalam banyak kasus, analis keamanan sering menemukan kolom bernama UserAuthenticationMethod di log Microsoft 365. Kolom ini menampilkan angka-angka misterius seperti 16, 272, atau 33554432 tanpa ada dokumentasi resmi dari Microsoft yang menjelaskan arti sebenarnya.
Bagi banyak tim keamanan, ini jelas membingungkan. Tanpa petunjuk yang jelas, mereka kesulitan menganalisis pola login pengguna, mendeteksi aktivitas mencurigakan, hingga menilai apakah organisasi mereka sudah menggunakan metode autentikasi yang tahan terhadap serangan phishing.
Situasinya semakin rumit ketika tim hanya memiliki akses ke log Microsoft 365, sementara data dari Entra ID tidak tersedia. Akibatnya, para analis harus menebak-nebak metode autentikasi apa yang digunakan setiap kali ada pengguna masuk ke sistem.
Penemuan Penting dari Tim Sekoia
Untuk menjawab misteri tersebut, tim peneliti dari Sekoia melakukan analisis korelasi mendalam antara Microsoft Entra sign-in logs dan Microsoft 365 audit logs. Dari situ mereka menemukan sesuatu yang menarik: ternyata kolom UserAuthenticationMethod bekerja menggunakan sistem bitfield.
Artinya, setiap bit dalam angka tersebut mewakili satu metode autentikasi tertentu. Jadi, angka yang terlihat acak sebenarnya adalah kombinasi dari beberapa metode autentikasi yang aktif secara bersamaan.
Dengan temuan ini, para profesional keamanan kini bisa mendecode nilai numerik tersebut menjadi deskripsi metode autentikasi yang bisa dibaca manusia.
Cara Kerja Bitfield Mapping
Tim peneliti menemukan bahwa setiap bit position dalam kolom tersebut mengindikasikan metode autentikasi tertentu. Misalnya, bit 0 (nilai desimal 1) berarti “Password in the Cloud”, bit 1 berarti “Temporary Access Pass”, dan bit 18 (nilai 262144) digunakan untuk “Windows Hello for Business”.
Sebagai contoh, jika nilai UserAuthenticationMethod adalah 272, maka ketika dikonversi ke bentuk biner menjadi 100010000. Nilai ini menunjukkan bahwa bit ke-4 (nilai 16) aktif sebagai Password Hash Sync, dan bit ke-8 (nilai 256) aktif sebagai via Staged Rollout. Dengan demikian, kombinasi tersebut menunjukkan bahwa pengguna melakukan autentikasi melalui “Password Hash Sync via Staged Rollout.”
Secara total, tim Sekoia berhasil memetakan 28 posisi bit yang sudah teridentifikasi. Beberapa di antaranya:
-
Bit 0: Password in the Cloud (1)
-
Bit 1: Temporary Access Pass
-
Bit 2: Seamless SSO
-
Bit 18: Windows Hello for Business (262144)
-
Bit 25: Passkey (33554432)
Namun, masih ada beberapa bit yang belum memiliki pemetaan pasti, seperti posisi 5, 7, 9–17, 22, dan 26.
Menghubungkan Data dari Dua Sistem Log
Proses decoding ini dimungkinkan berkat adanya kolom pengenal yang sama di kedua sistem log. Di Microsoft 365 audit logs, kolom tersebut disebut InterSystemsId, sedangkan di Entra ID logs dikenal dengan correlationId.
Dengan mencocokkan kedua kolom ini, para peneliti bisa menghubungkan peristiwa autentikasi yang sama dan menelusuri detail metode autentikasi melalui kolom authenticationMethodDetail di Entra ID.
Baca Juga : Bug Microsoft Outlook di Windows Bikin Aplikasi Crash Saat Buka Email
Penemuan teknik bitfield mapping ini menjadi terobosan penting bagi para profesional keamanan. Kini, angka-angka acak di audit log Microsoft 365 bukan lagi misteri. Dengan memahami cara decode-nya, tim keamanan bisa lebih mudah membaca pola autentikasi pengguna, mendeteksi login mencurigakan, hingga memperkuat strategi keamanan perusahaan secara menyeluruh.
