Membuat aturan analitik kustom untuk mendeteksi ancaman

Catatan

Azure Sentinel sekarang disebut Microsoft Sentinel, dan kami akan memperbarui halaman ini dalam beberapa minggu mendatang. Pelajari selengkapnyatentang peningkatan keamanan Microsoft terbaru.

Setelah menghubungkan sumber data ke Microsoft Azure Sentinel, buat aturan analitik kustom untuk membantu menemukan ancaman dan perilaku anomali yang ada di lingkungan Anda.

Aturan analitik mencari peristiwa atau rangkaian peristiwa tertentu di seluruh lingkungan Anda, memberi tahu Anda saat ambang atau kondisi peristiwa tertentu tercapai, menghasilkan insiden bagi SOC Anda untuk melakukan triase dan menyelidiki, dan menanggapi ancaman dengan proses pelacakan dan remediasi otomatis.

Tip

Saat membuat aturan kustom, gunakan aturan yang ada sebagai template atau referensi. Menggunakan aturan yang ada sebagai garis besar membantu dengan membangun sebagian besar logika sebelum Anda membuat perubahan yang diperlukan.

  • Membuat aturan analitik
  • Menentukan cara peristiwa dan pemberitahuan diproses
  • Menentukan cara pemberitahuan dan insiden dibuat
  • Memilih respons ancaman otomatis untuk aturan Anda

Membuat aturan analitik kustom dengan kueri terjadwal

  1. Dari menu navigasi Microsoft Azure Sentinel, pilih Analitik.

  2. Di bilah tindakan di bagian atas, pilih +Buat, lalu pilih Aturan kueri terjadwal. Ini membuka wizard aturan Analitik.

    Create scheduled query

Wizard aturan Analitik - tab Umum

  • Berikan Nama dan Deskripsi yang unik.

  • Di bidang Taktik dan teknik, Anda dapat memilih di antara kategori serangan yang digunakan untuk mengklasifikasikan aturan. Ini didasarkan pada taktik dan teknik kerangka kerja MITRE ATT&CK.

    Insiden yang dibuat dari peringatan yang dideteksi oleh aturan yang dipetakan ke taktik dan teknik MITER ATT&CK secara otomatis mewarisi pemetaan aturan.

  • Atur Keparanhan sebagaimana mestinya.

  • Saat Anda membuat aturan, Status aturan Diaktifkan secara default, yang berarti akan berjalan segera setelah Anda selesai membuatnya. Jika Anda tidak ingin aturan langsung dijalankan, pilih Dinonaktifkan, dan aturan akan ditambahkan ke tab Aturan aktif dan Anda bisa mengaktifkannya dari sana saat memerlukannya.

    Start creating a custom analytics rule

Menentukan logika kueri aturan dan mengonfigurasi pengaturan

Di tab Atur logika aturan, Anda bisa menulis kueri secara langsung di bidang Kueri aturan, atau membuat kueri di Analitik Log lalu menyalin dan menempelkannya di sini.

  • Kueri ini ditulis dalam Bahasa Pemrogram Kueri Kusto (KQL). Pelajari lebih lanjut tentang konsep dan kueri KQL, dan lihat panduan referensi cepat yang berguna ini.

  • Contoh yang ditampilkan dalam cuplikan layar ini mengkueri tabel SecurityEvent untuk menampilkan jenis peristiwa masuk Windows yang gagal.

    Configure query rule logic and settings

  • Berikut ini sampel kueri lain, yang akan memberi tahu Anda saat sejumlah besar sumber daya dibuat di Aktivitas Azure.

    AzureActivity
    | where OperationName == "Create or Update Virtual Machine" or OperationName =="Create Deployment"
    | where ActivityStatus == "Succeeded"
    | make-series dcount(ResourceId)  default=0 on EventSubmissionTimestamp in range(ago(7d), now(), 1d) by Caller
    

    Penting

    Sebaiknya kueri Anda menggunakan pengurai Advanced Security Information Model (ASIM) dan bukan tabel asli. Hal ini akan memastikan bahwa kueri mendukung sumber data yang relevan saat ini atau di masa mendatang, bukan sumber data tunggal.

    Catatan

    Praktik terbaik kueri aturan:

    • Panjang kueri harus antara 1 dan 10.000 karakter dan tidak boleh berisi "search *" atau "union *". Anda bisa menggunakan fungsi yang ditentukan pengguna untuk mengatasi batasan panjang kueri.

    • Menggunakan fungsi ADX untuk membuat kueri Azure Data Explorer di dalam jendela kueri Analitik Log tidak didukung.

    • Saat menggunakan fungsi bag_unpack dalam kueri, jika Anda memproyeksikan kolom sebagai bidang menggunakan "project field1" dan kolom tidak ada, kueri akan gagal. Untuk mencegah hal ini terjadi, Anda harus memproyeksikan kolom sebagai berikut:

      • project field1 = column_ifexists("field1","")

Pengayaan pemberitahuan

  • Gunakan bagian konfigurasi Pemetaan entitas untuk memetakan parameter dari hasil kueri Anda ke entitas yang dikenal Microsoft Azure Sentinel. Entitas memperkaya output aturan (pemberitahuan dan insiden) dengan informasi penting yang berfungsi sebagai blok penyusun dari setiap proses investigasi dan tindakan remediasi yang mengikuti. Entitas juga merupakan kriteria yang digunakan untuk mengelompokkan pemberitahuan bersama-sama ke dalam insiden di tab Pengaturan insiden.

    Pelajari entitas di Microsoft Azure Sentinel lebih lanjut.

    Lihat Memetakan bidang data ke entitas di Microsoft Sentinel untuk petunjuk pemetaan entitas lengkap, bersama dengan informasi penting tentang batasan dan kompatibilitas mundur.

  • Gunakan bagian konfigurasi Detail kustom untuk mengekstrak item data peristiwa dari kueri Anda dan menampilkannya di pemberitahuan yang dihasilkan oleh aturan ini, memberi Anda visibilitas konten peristiwa langsung di pemberitahuan dan insiden.

    Pelajari lebih lanjut tentang menampilkan detail kustom dalam pemberitahuan, dan melihat petunjuk lengkapnya.

  • Gunakan bagian konfigurasi Detail pemberitahuan untuk menyesuaikan detail presentasi pemberitahuan dengan konten aktualnya. Detail pemberitahuan memungkinkan Anda menampilkan, misalnya, alamat IP penyerang atau nama akun dalam judul pemberitahuan itu sendiri, sehingga akan muncul dalam antrean insiden Anda, memberi Anda gambaran yang jauh lebih kaya dan lebih jelas tentang lanskap ancaman Anda.

    Lihat petunjuk lengkap tentang menyesuaikan detail pemberitahuan Anda.

Catatan

Batas ukuran untuk seluruh peringatan adalah 64 KB.

  • Peringatan yang bertambah lebih besar dari 64 KB akan dipotong. Saat entitas diidentifikasi, entitas ditambahkan ke peringatan satu per satu hingga ukuran peringatan mencapai 64 KB, dan entitas yang tersisa dihapus dari peringatan.

  • Pengayaan peringatan lainnya juga berkontribusi pada ukuran peringatan.

  • Untuk mengurangi ukuran peringatan Anda, gunakan operator project-away dalam kueri Anda untuk menghapus bidang yang tidak perlu. (Pertimbangkan juga operator project jika hanya ada beberapa bidang yang perlu Anda simpan.)

Penjadwalan kueri dan ambang pemberitahuan

  • Di bagian Penjadwalan kueri, atur parameter berikut:

    Set query schedule and event grouping

    • Atur Jalankan kueri setiap untuk mengontrol seberapa sering kueri dijalankan - sesering setiap 5 menit atau jarang seperti sekali setiap 14 hari.

    • Atur Data pencarian dari yang terakhir untuk menentukan periode waktu data yang dicakup oleh kueri - misalnya, data tersebut bisa mengkueri 10 menit terakhir data, atau 6 jam terakhir data. Maksimum 14 hari.

      Catatan

      Interval kueri dan periode pencarian

      Kedua pengaturan ini independen satu sama lain, hingga satu titik. Anda bisa menjalankan kueri dalam interval singkat yang mencakup periode waktu lebih lama dari interval (sehingga memiliki kueri yang tumpang tindih), tetapi Anda tidak bisa menjalankan kueri pada interval yang melebihi periode cakupan, jika tidak, Anda akan memiliki celah dalam cakupan kueri keseluruhan. >>Penundaan penyerapan>> Untuk memperhitungkan latensi yang mungkin terjadi antara pembuatan peristiwa di sumber dan penyerapannya ke Microsoft Sentinel, dan untuk memastikan cakupan lengkap tanpa duplikasi data, Microsoft Sentinel menjalankan aturan analitik terjadwal pada penundaan lima menit dari waktu yang dijadwalkan. >> Untuk informasi selengkapnya, lihat Menangani penundaan penyerapan dalam aturan analitik terjadwal.

  • Gunakan bagian Ambang pemberitahuan untuk menentukan tingkat sensitivitas aturan. Misalnya, atur Buat pemberitahuan saat jumlah hasil kueri ke Lebih besar dari dan masukkan angka 1000 jika Anda ingin aturan membuat pemberitahuan hanya jika kueri menampilkan lebih dari 1000 hasil setiap kali dijalankan. Ini adalah bidang wajib diisi, jadi jika Anda tidak ingin menetapkan ambang – yaitu, jika Anda ingin pemberitahuan mendaftarkan setiap peristiwa – masukkan 0 di bidang angka.

Simulasi hasil

Di area Simulasi hasil, di sisi kanan wizard, pilih Uji dengan data saat ini dan Microsoft Azure Sentinel akan memperlihatkan grafik hasil (peristiwa log) yang telah dibuat oleh kueri selama 50 kali terakhir yang akan dijalankannya, sesuai dengan jadwal yang ditentukan saat ini. Jika Anda mengubah kueri, pilih lagi Uji dengan data saat ini untuk memperbarui grafik. Grafik menunjukkan jumlah hasil selama periode waktu yang ditentukan, yang ditentukan oleh pengaturan di bagian Penjadwalan kueri.

Berikut adalah tampilan simulasi hasil untuk kueri pada cuplikan layar di atas. Sisi kiri adalah tampilan default, dan sisi kanan adalah apa yang Anda lihat saat mengarahkan kursor ke titik waktu pada grafik.

Results simulation screenshots

Jika Anda melihat bahwa kueri Anda akan memicu terlalu banyak atau terlalu sering peringatan, Anda dapat bereksperimen dengan pengaturan di bagianPenjadwalan kueri dan Ambang batas peringatan dan pilih Uji dengan data saat ini lagi.

Pengelompokan peristiwa dan penangguhan aturan

  • Di bagian Pengelompokan peristiwa, pilih salah satu dari dua cara untuk menangani pengelompokan peristiwa ke pemberitahuan:

    • Mengelompokkan semua peristiwa ke dalam satu pemberitahuan (pengaturan default). Aturan membuat satu pemberitahuan setiap kali dijalankan, selama kueri menampilkan lebih banyak hasil daripada ambang peringatan yang ditentukan di atas. Peringatan menyertakan ringkasan semua peristiwa yang ditampilkan dalam hasil.

    • Memicu pemberitahuan untuk setiap peristiwa. Aturan membuat pemberitahuan unik untuk setiap peristiwa yang ditampilkan oleh kueri. Ini berguna jika Anda ingin peristiwa ditampilkan secara individual, atau jika Anda ingin mengelompokkannya dengan parameter tertentu - berdasarkan pengguna, nama host, atau sesuatu yang lain. Anda bisa menentukan parameter ini dalam kueri.

      Saat ini, jumlah pemberitahuan yang dapat dihasilkan oleh aturan dibatasi pada 150. Jika dalam aturan tertentu, Pengelompokan peristiwa diatur ke Memicu pemberitahuan untuk setiap peristiwa, dan kueri aturan menampilkan lebih dari 150 peristiwa, masing-masing dari 149 peristiwa pertama akan membuat pemberitahuan yang unik, dan pemberitahuan ke-150 akan merangkum seluruh rangkaian peristiwa yang ditampilkan. Dengan kata lain, pemberitahuan ke-150 adalah apa yang akan dibuat pada opsi Kelompokkan semua peristiwa menjadi satu pemberitahuan.

      Jika Anda memilih opsi ini, Microsoft Azure Sentinel akan menambahkan bidang baru, OriginalQuery, ke hasil kueri. Berikut adalah perbandingan bidang Kueri yang sudah ada dan bidang baru:

      Nama bidang Berisi Menjalankan kueri di bidang ini
      menghasilkan...
      Kueri Catatan terkompresi dari peristiwa yang membuat instans pemberitahuan Peristiwa yang membuat instans pemberitahuan
      OriginalQuery Kueri asli seperti yang tertulis dalam aturan analitik Peristiwa terbaru dalam jangka waktu kueri berjalan, yang sesuai dengan parameter yang ditentukan oleh kueri

      Dengan kata lain, bidang OriginalQuery berperilaku seperti bidang Kueri biasanya berperilaku. Hasil dari bidang tambahan ini adalah bahwa masalah yang dijelaskan oleh item pertama di bagian Pemecahan Masalah di bawah telah diselesaikan.

    Catatan

    Apa perbedaan antara peristiwa dan pemberitahuan?

    • Peristiwa adalah deskripsi terjadinya satu tindakan. Misalnya, satu entri dalam file log bisa dihitung sebagai peristiwa. Dalam konteks ini, peristiwa merujuk pada satu hasil yang ditampilkan oleh kueri dalam aturan analitik.

    • Pemberitahuan adalah kumpulan peristiwa yang, diambil bersama-sama, signifikan dari sudut pandang keamanan. Pemberitahuan bisa berisi satu peristiwa jika peristiwa tersebut memiliki implikasi keamanan yang signifikan - masuk administratif dari negara asing di luar jam kerja, misalnya.

    • Ngomong-ngomong, apa itu insiden? Logika internal Microsoft Azure Sentinel membuat insiden dari pemberitahuan atau grup pemberitahuan. Antrean insiden adalah titik fokus pekerjaan analis SOC - triase, investigasi, dan remediasi.

    Microsoft Azure Sentinel menyerap peristiwa mentah dari beberapa sumber data, dan pemberitahuan yang sudah diproses dari sumber data lainnya. Penting untuk dicatat mana yang Anda hadapi kapan saja.

  • Di bagian Penangguhan, Anda bisa mengalihkan pengaturan Berhenti menjalankan kueri setelah pemberitahuan dibuat ke Aktif jika, setelah mendapatkan pemberitahuan, Anda ingin menangguhkan operasi aturan ini untuk jangka waktu yang melebihi interval kueri. Jika mengaktifkan ini, Anda harus mengatur Berhenti menjalankan kueri ke jumlah waktu kueri harus berhenti berjalan, hingga 24 jam.

Mengonfigurasi pengaturan pembuatan insiden

Di tab Pengaturan Insiden, Anda bisa memilih apakah dan bagaimana Microsoft Azure Sentinel mengubah pemberitahuan menjadi insiden yang bisa ditindaklanjuti. Jika tab ini dibiarkan saja, Microsoft Azure Sentinel akan membuat satu insiden terpisah dari masing-masing dan setiap pemberitahuan. Anda bisa memilih untuk tidak membuat insiden, atau mengelompokkan beberapa pemberitahuan ke dalam satu insiden, dengan mengubah pengaturan di tab ini.

Contohnya:

Define the incident creation and alert grouping settings

Pengaturan insiden

Di bagian Pengaturan insiden, Buat insiden dari pemberitahuan yang dipicu oleh aturan analitik ini diatur secara default ke Aktif, yang berarti bahwa Microsoft Azure Sentinel akan membuat satu insiden terpisah dari masing-masing dan setiap pemberitahuan yang dipicu oleh aturan.

  • Jika Anda tidak ingin aturan ini menghasilkan pembuatan insiden apa pun (misalnya, jika aturan ini hanya untuk mengumpulkan informasi untuk analisis berikutnya), atur ini ke Nonaktif.

  • Jika Anda ingin satu insiden dibuat dari sekelompok pemberitahuan, bukan satu untuk setiap pemberitahuan, lihat bagian berikutnya.

Pengelompokan pemberitahuan

Di bagian Pengelompokan pemberitahuan, jika Anda ingin satu insiden dibuat dari grup hingga 150 pemberitahuan serupa atau berulang (lihat catatan), atur Pemberitahuan terkait grup, yang dipicu oleh aturan analitik ini, ke dalam insiden ke Diaktifkan, dan atur parameter berikut.

  • Batasi grup untuk pemberitahuan yang dibuat dalam jangka waktu yang dipilih: Menentukan jangka waktu saat pemberitahuan serupa atau berulang akan dikelompokkan bersama. Semua pemberitahuan yang sesuai dalam jangka waktu ini akan secara kolektif membuat insiden atau serangkaian insiden (tergantung pada pengaturan pengelompokan di bawah). Pemberitahuan di luar jangka waktu ini akan membuat insiden atau serangkaian insiden terpisah.

  • Peringatan grup yang dipicu oleh aturan analitik ini menjadi satu insiden oleh: Pilih dasar saat pemberitahuan akan dikelompokkan bersama:

    Opsi Deskripsi
    Pemberitahuan grup menjadi satu insiden jika semua entitas cocok Pemberitahuan dikelompokkan bersama jika memiliki nilai yang identik untuk setiap entitas yang dipetakan (ditentukan dalam tab Atur logika aturan di atas). Ini adalah pengaturan yang direkomendasikan.
    Mengelompokkan semua pemberitahuan yang dipicu oleh aturan ini ke dalam satu insiden Semua pemberitahuan yang dibuat oleh aturan ini dikelompokkan bersama-sama meskipun tidak memiliki nilai yang identik.
    Mengelompokkan pemberitahuan ke dalam satu insiden jika entitas dan detail yang dipilih cocok Pemberitahuan dikelompokkan bersama jika memiliki nilai yang identik untuk semua entitas yang dipetakan, detail pemberitahuan, dan detail kustom yang dipilih dari daftar drop-down masing-masing.

    Anda mungkin ingin menggunakan pengaturan ini jika, misalnya, ingin membuat insiden terpisah berdasarkan alamat IP sumber atau target, atau jika Anda ingin mengelompokkan pemberitahuan yang cocok dengan entitas dan tingkat keparahan tertentu.

    Catatan: Saat memilih opsi ini, Anda harus memiliki setidaknya satu jenis entitas atau bidang yang dipilih untuk aturan. Jika tidak, validasi aturan akan gagal dan aturan tidak akan dibuat.
  • Buka kembali insiden pencocokan tertutup: Jika insiden telah diselesaikan dan ditutup, dan kemudian pemberitahuan lain dibuat yang seharusnya milik insiden itu, atur pengaturan ini ke Diaktifkan jika Anda ingin insiden tertutup dibuka kembali, dan biarkan sebagai Dinonaktifkan jika ingin pemberitahuan untuk membuat insiden baru.

    Catatan

    Hingga 150 peringatan bisa dikelompokkan ke dalam satu insiden. Jika lebih dari 150 pemberitahuan dibuat oleh aturan yang mengelompokkannya menjadi satu insiden, insiden baru akan dibuat dengan detail insiden yang sama dengan aslinya, dan pemberitahuan berlebih akan dikelompokkan ke dalam insiden baru.

Mengatur respons otomatis dan membuat aturan

  1. Di tab Respons otomatis, Anda dapat mengatur otomatisasi berdasarkan peringatan atau peringatan yang dihasilkan oleh aturan analitik ini, atau berdasarkan insiden yang dibuat oleh peringatan.

    • Untuk otomatisasi berbasis peringatan, pilih dari daftar drop-down pada bagian Otomatisasi peringatan setiap playbook yang ingin Anda jalankan secara otomatis saat peringatan dihasilkan.

    • Untuk automasi berbasis insiden, kisi yang ditampilkan di bawah Automasi insiden menunjukkan aturan automasi yang sudah berlaku untuk aturan analitik ini (berdasarkannya memenuhi kondisi yang ditentukan dalam aturan tersebut). Anda dapat mengedit salah satu dari ini dengan memilih elipsis di akhir setiap baris. Atau, Anda dapat membuat aturan automasi baru.

      Anda dapat memanggil playbook (yang didasarkan pada otomatisasi insiden) dari aturan otomatisasi ini, serta mengotomatisasi triase, penugasan, dan penutupan.

    • Untuk informasi dan instruksi selengkapnya tentang membuat playbook dan aturan otomatisasi, lihat Mengotomatisasi respons ancaman.

    • Untuk informasi selengkapnya tentang kapan harus menggunakan pemicu pemberitahuan atau pemicu insiden, lihat Menggunakan pemicu dan tindakan di playbook Microsoft Azure Sentinel.

    Define the automated response settings

  2. Pilih Tinjau dan buat untuk meninjau semua pengaturan untuk aturan pemberitahuan baru Anda. Saat pesan "Lulus validasi" muncul, pilih Buat untuk menginisialisasi aturan pemberitahuan Anda.

    Review all settings and create the rule

Menampilkan aturan dan outputnya

  • Anda bisa menemukan aturan kustom yang baru dibuat (jenis "Terjadwal") dalam tabel di bawah tab Aturan aktif di layar Analitik utama. Dari daftar ini Anda bisa mengaktifkan, menonaktifkan, atau menghapus setiap aturan.

  • Untuk melihat hasil aturan pemberitahuan yang Anda buat, buka halaman Insiden, tempat Anda bisa melakukan triase, menyelidiki insiden, dan memulihkan ancaman.

  • Anda bisa memperbarui kueri aturan untuk mengecualikan positif palsu. Untuk mengetahui informasi selengkapnya, lihat Menangani positif palsu di Microsoft Azure Sentinel.

Catatan

Pemberitahuan yang dibuat di Microsoft Azure Sentinel tersedia melalui Microsoft Graph Security. Untuk mengetahui informasi selengkapnya, lihat dokumentasi pemberitahuan Keamanan Microsoft Graph.

Mengekspor aturan ke templat ARM

Jika Anda ingin mengemas aturan Anda untuk dikelola dan disebarkan sebagai kode, Anda bisa dengan mudah mengekspor aturan ke templat Azure Resource Manager (ARM). Anda juga bisa mengimpor aturan dari file templat untuk menampilkan dan mengeditnya di antarmuka pengguna.

Pemecahan Masalah

Masalah: Tidak ada peristiwa yang muncul dalam hasil kueri

Saat pengelompokan peristiwa diatur untuk memicu peringatan untuk setiap peristiwa, hasil kueri yang dilihat di lain waktu mungkin tampak hilang, atau berbeda dari yang diharapkan. Misalnya, Anda mungkin melihat hasil kueri di lain waktu saat Anda berputar kembali ke hasil dari insiden terkait.

  • Hasil disimpan secara otomatis dengan peringatan. Namun, jika hasilnya terlalu besar, tidak ada hasil yang disimpan, lalu tidak ada data yang akan muncul saat melihat hasil kueri lagi.
  • Jika terjadi penundaan penyerapan, atau kueri tidak deterministik karena agregasi, hasil peringatan mungkin berbeda dari hasil yang ditampilkan dengan menjalankan kueri secara manual.

Catatan

Masalah ini telah diselesaikan dengan penambahan bidang baru, OriginalQuery, ke hasil saat opsi pengelompokan peristiwa ini dipilih. Lihat deskripsi di atas.

Masalah: Aturan terjadwal gagal dijalankan, atau muncul dengan AUTO DISABLED yang ditambahkan ke namanya

Ini jarang terjadi bahwa aturan kueri terjadwal gagal dijalankan, tetapi ini bisa terjadi. Microsoft Azure Sentinel mengklasifikasikan kegagalan di depan sebagai sementara atau permanen, berdasarkan jenis kegagalan tertentu dan keadaan yang menyebabkannya.

Kegagalan sementara

Kegagalan sementara terjadi karena keadaan yang bersifat sementara dan akan segera kembali normal, yang mana eksekusi aturan akan berhasil. Beberapa contoh kegagalan yang diklasifikasikan Microsoft Azure Sentinel sebagai sementara adalah:

  • Kueri aturan membutuhkan waktu terlalu lama untuk dijalankan dan waktu habis.
  • Masalah konektivitas antara sumber data dan Log Analytics, atau antara Log Analytics dan Microsoft Azure Sentinel.
  • Kegagalan baru dan tidak diketahui lainnya dianggap sementara.

Jika terjadi kegagalan sementara, Microsoft Azure Sentinel terus mencoba mengeksekusi aturan lagi setelah interval yang ditentukan sebelumnya dan terus meningkat, hingga satu titik. Setelah itu, aturan akan berjalan lagi hanya pada waktu yang dijadwalkan berikutnya. Aturan tidak akan pernah dinonaktifkan secara otomatis karena kegagalan sementara.

Kegagalan permanen - aturan dinonaktifkan secara otomatis

Kegagalan permanen terjadi karena perubahan kondisi yang memungkinkan aturan berjalan, yang tanpa intervensi manusia tidak akan kembali ke status sebelumnya. Berikut ini adalah beberapa contoh kegagalan yang diklasifikasikan sebagai permanen:

  • Ruang kerja target (tempat kueri aturan dioperasikan) telah dihapus.
  • Ruang kerja target (tempat kueri aturan dioperasikan) telah dihapus.
  • Microsoft Azure Sentinel telah dihapus dari ruang kerja target.
  • Fungsi yang digunakan oleh kueri aturan tidak lagi valid; telah diubah atau dihapus.
  • Izin ke salah satu sumber data kueri aturan diubah.
  • Salah satu sumber data kueri aturan dihapus atau terputus.

Jika terjadi sejumlah kegagalan permanen berturut-turut yang ditentukan sebelumnya, dengan jenis yang sama dan aturan yang sama, Microsoft Azure Sentinel berhenti mencoba eksekusi aturan, dan juga mengambil langkah-langkah berikut:

  • Menonaktifkan aturan.
  • Menambahkan kata "AUTO DISABLED" ke awal nama aturan.
  • Menambahkan alasan kegagalan (dan penonaktifan) ke deskripsi aturan.

Anda bisa dengan mudah menentukan keberadaan aturan yang dinonaktifkan secara otomatis, dengan mengurutkan daftar aturan menurut nama. Aturan yang dinonaktifkan secara otomatis akan berada di atau di dekat bagian atas daftar.

Manajer SOC harus memastikan untuk memeriksa daftar aturan secara teratur untuk keberadaan aturan yang dinonaktifkan secara otomatis.

Langkah berikutnya

Saat menggunakan aturan analitik untuk mendeteksi ancaman dari Microsoft Azure Sentinel, pastikan Anda mengaktifkan semua aturan yang terkait dengan sumber data yang terhubung untuk memastikan cakupan keamanan penuh untuk lingkungan Anda. Cara paling efisien untuk mengaktifkan aturan analitik adalah langsung dari halaman konektor data, yang mencantumkan aturan terkait apa pun. Untuk informasi selengkapnya, lihat Menghubungkan sumber data.

Anda juga dapat menerapkan aturan ke Microsoft Azure Sentinel melalui API dan PowerShell, meskipun tindakan ini memerlukan upaya lain. Saat menggunakan API atau PowerShell, Anda harus terlebih dahulu mengekspor aturan ke JSON sebelum mengaktifkan aturan. API atau PowerShell dapat berguna saat mengaktifkan aturan di beberapa instans Microsoft Azure Sentinel dengan pengaturan yang identik di setiap instans.

Untuk informasi selengkapnya, lihat:

Untuk informasi selengkapnya, lihat:

Selain itu, pelajari contoh penggunaan aturan analitik kustom saat memantau Zoom dengan konektor kustom.