Praktik terbaik untuk Microsoft Azure Sentinel
Panduan praktik terbaik disediakan di seluruh dokumentasi teknis untuk Microsoft Azure Sentinel. Artikel ini menyoroti beberapa panduan utama untuk digunakan saat menyebarkan, mengelola, dan menggunakan Microsoft Sentinel.
Penting
Microsoft Azure Sentinel tersedia sebagai bagian dari platform operasi keamanan terpadu di portal Pertahanan Microsoft. Microsoft Sentinel di portal Defender sekarang didukung untuk penggunaan produksi. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.
Menyiapkan Microsoft Azure Sentinel
Mulailah dengan panduan penyebaran untuk Microsoft Azure Sentinel. Panduan penyebaran mencakup langkah-langkah tingkat tinggi untuk merencanakan, menyebarkan, dan menyempurnakan penyebaran Microsoft Azure Sentinel Anda. Dari panduan tersebut, pilih tautan yang disediakan untuk menemukan panduan terperinci untuk setiap tahap dalam penyebaran Anda.
Integrasi layanan keamanan Microsoft
Microsoft Azure Sentinel diberdayakan oleh komponen yang mengirim data ke ruang kerja Anda, dan dibuat lebih kuat melalui integrasi dengan layanan Microsoft lain. Setiap log yang diserap ke dalam produk, seperti Microsoft Defender untuk Cloud Apps, Microsoft Defender untuk Titik Akhir, dan Microsoft Defender untuk Identitas, memungkinkan layanan ini untuk membuat deteksi, dan pada gilirannya menyediakannya deteksi ke Microsoft Azure Sentinel. Log juga dapat diumpankan langsung ke Microsoft Azure Sentinel untuk memberikan gambaran yang lebih lengkap untuk peristiwa dan insiden.
Misalnya, gambar berikut menunjukkan bagaimana Microsoft Azure Sentinel menyerap data dari platform layanan Microsoft dan multicloud dan mitra lainnya untuk memberikan cakupan bagi lingkungan Anda:
Bukan hanya menyerap peringatan dan log dari sumber lain, Microsoft Azure Sentinel juga:
- Menggunakan informasi yang dicernanya dengan pembelajaran mesin yang memungkinkan hasil korelasi peristiwa, agregasi peringatan, deteksi anomali yang lebih baik, dan lebih banyak lagi.
- Membangun dan menyajikan visual interaktif melalui buku kerja,menampilkan tren, informasi terkait, dan data kunci yang digunakan untuk tugas administrasi dan investigasi.
- Menjalankan Playbook untuk bertindak berdasarkan peringatan, mengumpulkan informasi, melakukan tindakan pada item, dan mengirim pemberitahuan ke berbagai platform.
- Mengintegrasikan dengan platform mitra, seperti ServiceNow dan Jira, untuk menyediakan layanan penting bagi tim SOC.
- Menyerap dan mengambil umpan pengayaan dari platform intelijen ancaman untuk membawa data berharga untuk investigasi.
Untuk informasi selengkapnya tentang mengintegrasikan data dari layanan atau penyedia lain, lihat Konektor data Microsoft Azure Sentinel.
Pertimbangkan untuk onboarding Microsoft Sentinel ke portal Pertahanan Microsoft untuk menyatukan kemampuan dengan Microsoft Defender XDR seperti manajemen insiden dan perburuan tingkat lanjut. Untuk informasi lebih lanjut, baca artikel berikut:
- Koneksi Microsoft Azure Sentinel ke Pertahanan Microsoft XDR
- Microsoft Sentinel di portal Pertahanan Microsoft
Manajemen dan respons insiden
Gambar berikut menunjukkan langkah-langkah yang direkomendasikan dalam manajemen insiden dan proses respons.
Tabel berikut ini menyediakan deskripsi tingkat tinggi tentang cara menggunakan fitur Microsoft Azure Sentinel untuk manajemen dan respons insiden. Untuk informasi selengkapnya, lihat Menyelidiki insiden dengan Microsoft Azure Sentinel.
| Kemampuan | Praktik terbaik |
|---|---|
| Insiden | Setiap insiden yang dihasilkan ditampilkan pada halaman Insiden, yang berfungsi sebagai lokasi pusat untuk triase dan penyelidikan awal. Halaman Insiden mencantumkan judul, tingkat keparahan, dan peringatan terkait, log, dan entitas apa pun yang menarik. Insiden juga memberikan lompatan cepat ke dalam log yang dikumpulkan dan alat apa pun yang terkait dengan insiden tersebut. |
| Grafik investigasi | Laman Insiden bekerja sama dengan grafik Investigasi, alat interaktif yang memungkinkan pengguna menjelajahi dan menyelami peringatan untuk menunjukkan cakupan penuh suatu serangan. Pengguna kemudian dapat membangun garis waktu peristiwa dan menemukan rentang dari sebuah rantai ancaman. Temukan entitas utama, seperti akun, URL, alamat IP, nama host, aktivitas, garis waktu, dan banyak lagi. Gunakan data ini untuk memahami apakah Anda memiliki positif palsu di tangan, dalam hal ini Anda dapat menutup insiden secara langsung. Jika Anda menemukan bahwa insiden tersebut benar-benar positif, ambil tindakan langsung dari halaman Insiden untuk menyelidiki log, entitas, dan jelajahi rantai ancaman. Setelah Anda mengidentifikasi ancaman dan membuat rencana tindakan, gunakan alat lain di Microsoft Sentinel dan layanan keamanan Microsoft lainnya untuk terus menyelidiki. |
| Visualisasi informasi | Untuk memvisualisasikan dan mendapatkan analisis tentang apa yang terjadi di lingkungan Anda, pertama-tama, lihat dasbor gambaran umum Microsoft Azure Sentinel untuk mendapatkan gambaran tentang postur keamanan organisasi Anda. Untuk informasi selengkapnya, lihat Memvisualisasikan data yang dikumpulkan. Selain informasi dan tren di halaman gambaran umum Microsoft Azure Sentinel, buku kerja adalah alat investigasi yang berharga. Misalnya, gunakan buku kerja Investigasi Insights untuk menyelidiki insiden tertentu bersama dengan entitas dan peringatan terkait. Buku kerja ini memungkinkan Anda untuk menyelam lebih dalam ke entitas dengan menampilkan log, tindakan, dan peringatan terkait. |
| Perburuan ancaman | Saat menyelidiki dan mencari akar penyebab, jalankan kueri berburu ancaman bawaan dan periksa hasil untuk indikator apa pun dari suatu penyusupan. Untuk informasi selengkapnya, lihat Perburuan ancaman di Microsoft Azure Sentinel. Selama penyelidikan, atau setelah mengambil langkah-langkah untuk memulihkan dan memberantas ancaman, gunakan livestream. Livestream memungkinkan Anda untuk memantau, secara real time, apakah ada peristiwa berbahaya yang berlama-lama, atau jika peristiwa berbahaya masih berlanjut. |
| Perilaku Entitas | Perilaku entitas di Microsoft Azure Sentinel memungkinkan pengguna untuk meninjau dan menyelidiki tindakan dan pemberitahuan untuk entitas tertentu, seperti menyelidiki akun dan nama host. Untuk informasi selengkapnya, lihat: - Mengaktifkan Analitik Perilaku Pengguna dan Entitas (UEBA) di Microsoft Azure Sentinel - Menyelidiki insiden dengan data UEBA - Referensi pengayaan UEBA Microsoft Azure Sentinel |
| Daftar Pantau | Gunakan daftar pantauan yang menggabungkan data dari data serapan dan sumber eksternal, seperti data pengayaan. Misalnya, buat daftar rentang alamat IP yang digunakan oleh organisasi Anda atau karyawan yang baru saja diberhentikan. Gunakan daftar pantauan dengan playbook untuk mengumpulkan data pengayaan, seperti menambahkan alamat IP berbahaya ke daftar pantauan untuk digunakan selama deteksi, perburuan ancaman, dan penyelidikan. Selama insiden, gunakan daftar pengawasan untuk berisi data investigasi, lalu hapus saat penyelidikan Anda dilakukan untuk memastikan bahwa data sensitif tidak tetap terlihat. Untuk informasi selengkapnya, lihat Daftar pengawasan di Microsoft Azure Sentinel. |
Kegiatan SOC reguler untuk dilakukan
Jadwalkan kegiatan Microsoft Azure Sentinel berikut secara teratur untuk memastikan praktik terbaik keamanan yang berkelanjutan:
Tugas sehari-hari
Triage dan menyelidiki insiden. Tinjau halaman Insiden Microsoft Azure Sentinel untuk memeriksa insiden baru yang dihasilkan oleh aturan analitik yang saat ini dikonfigurasi, dan mulailah menyelidiki insiden baru apa pun. Untuk informasi selengkapnya, lihat Menyelidiki insiden dengan Microsoft Azure Sentinel.
Jelajahi kueri berburu dan bookmark. Jelajahi hasil untuk semua kueri bawaan, dan perbarui kueri dan bookmark berburu yang ada. Secara manual hasilkan insiden baru atau perbarui insiden lama jika bisa digunakan. Untuk informasi selengkapnya, lihat:
Aturan analitik. Tinjau dan aktifkan aturan analitik baru yang berlaku, termasuk aturan yang baru dirilis atau yang baru tersedia dari konektor data yang baru terhubung.
Konektor data. Tinjau status, tanggal, dan waktu log terakhir yang diterima dari setiap konektor data untuk memastikan bahwa data mengalir. Periksa konektor baru, dan tinjau penyerapan untuk memastikan batas yang ditetapkan tidak terlampaui. Untuk informasi selengkapnya, lihat Praktik terbaik pengumpulan data dan Menghubungkan sumber data.
Agen Log Analytics . Verifikasi bahwa server dan workstation secara aktif terhubung ke ruang kerja, dan lakukan pemecahan masalah dan pemulihan koneksi apapun yang gagal. Untuk informasi selengkapnya, lihat Gambaran umum Agen Analitik Log.
Kegagalan playbook. Verifikasi playbook menjalankan status dan pecahkan masalah kegagalan apa pun. Untuk informasi selengkapnya, lihat Tutorial: Menanggapi ancaman dengan menggunakan playbook dengan aturan otomatisasi di Microsoft Azure Sentinel.
Tugas mingguan
Tinjauan konten solusi atau konten mandiri. Dapatkan pembaruan konten apa pun untuk solusi yang diinstal atau konten mandiri dari hub Konten. Tinjau solusi baru atau konten mandiri yang mungkin bernilai untuk lingkungan Anda, seperti aturan analitik, buku kerja, kueri berburu, atau playbook.
Audit Microsoft Azure Sentinel. Tinjau aktivitas Microsoft Azure Sentinel untuk melihat siapa yang memperbarui atau menghapus sumber daya, seperti aturan analitik, marka buku, dan sebagainya. Untuk informasi selengkapnya, lihat Audit kueri dan aktivitas Microsoft Azure Sentinel.
Tugas bulanan
Tinjau akses pengguna. Tinjau izin untuk pengguna Anda dan periksa pengguna yang tidak aktif. Untuk informasi selengkapnya, lihat Izin di Microsoft Azure Sentinel.
Tinjauan ruang kerja Log Analytics. Tinjau bahwa kebijakan retensi data ruang kerja Log Analytics masih selaras dengan kebijakan organisasi Anda. Untuk informasi selengkapnya, lihat Kebijakan retensi data dan Mengintegrasikan Azure Data Explorer untuk penyimpanan log jangka panjang.