Halaman entitas di Microsoft Azure Sentinel

• Berlaku untuk:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Saat Anda menemukan akun pengguna, nama host, alamat IP, atau sumber daya Azure dalam penyelidikan insiden, Anda dapat memutuskan untuk mengetahui lebih lanjut tentang hal itu. Misalnya, Anda mungkin ingin mengetahui riwayat aktivitasnya, apakah itu muncul di pemberitahuan atau insiden lain, apakah ia melakukan sesuatu yang tidak terduga atau kehabisan karakter, dan sebagainya. Singkatnya, Anda menginginkan informasi yang dapat membantu Anda menentukan jenis ancaman apa yang direpresentasikan entitas ini dan memandu penyelidikan Anda.

Penting

Microsoft Azure Sentinel tersedia sebagai bagian dari pratinjau publik untuk platform operasi keamanan terpadu di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

halaman entitas

Dalam situasi ini, Anda dapat memilih entitas (akan muncul sebagai tautan yang dapat diklik) dan dialihkan ke halaman entitas, lembar data yang penuh dengan informasi berguna terkait entitas tersebut. Anda juga dapat membuka halaman entitas dengan mencari entitas secara langsung di halaman perilaku entitas Microsoft Sentinel. Jenis informasi yang akan Anda temukan di halaman ini mencakup fakta dasar tentang entitas, garis waktu peristiwa penting terkait entitas ini, dan wawasan tentang perilaku entitas.

Lebih khusus lagi, halaman entitas terdiri dari tiga bagian:

• Panel sisi kiri berisi informasi identifikasi entitas, yang dikumpulkan dari sumber data seperti MICROSOFT Entra ID, Azure Monitor, Azure Activity, Azure Resource Manager, Microsoft Defender untuk Cloud, CEF/Syslog, dan Microsoft Defender XDR (dengan semua komponennya).

• Panel tengah yang menampilkan garis waktu grafis dan tekstual dari peristiwa penting yang terkait dengan entitas, seperti pemberitahuan, marka buku, anomali, dan aktivitas. Aktivitas adalah agregasi peristiwa penting dari Log Analytics. Kueri yang mendeteksi aktivitas tersebut dikembangkan oleh tim riset keamanan Microsoft, dan sekarang Anda dapat menambahkan kueri kustom Anda sendiri untuk mendeteksi aktivitas yang Anda pilih.

• Panel sebelah kanan yang menampilkan wawasan perilaku pada entitas. Wawasan ini terus dikembangkan oleh tim peneliti keamanan Microsoft. Mereka disusun dari berbagai sumber data serta memberikan konteks untuk entitas dan aktivitas yang diamati, membantu Anda mengidentifikasi perilaku anomali dan ancaman keamanan dengan cepat.

  Pada November 2023, wawasan generasi berikutnya mulai tersedia dalam PRATINJAU, dalam bentuk widget pengayaan. Wawasan baru ini dapat mengintegrasikan data dari sumber eksternal dan mendapatkan pembaruan secara real time, dan dapat dilihat bersama wawasan yang ada. Untuk memanfaatkan widget baru ini, Anda harus mengaktifkan pengalaman widget.

Jika Anda menyelidiki insiden menggunakan pengalaman investigasi baru, Anda akan dapat melihat versi panel halaman entitas tepat di dalam halaman detail insiden. Anda memiliki daftar semua entitas dalam insiden tertentu, dan memilih entitas membuka panel samping dengan tiga "kartu"—Info, Garis Waktu, dan Wawasan— menampilkan semua informasi yang sama seperti yang dijelaskan di atas, dalam jangka waktu tertentu yang sesuai dengan pemberitahuan dalam insiden tersebut.

Jika Anda menggunakan platform operasi keamanan terpadu di portal Pertahanan Microsoft, garis waktu dan panel wawasan muncul di tab peristiwa Sentinel di halaman entitas Defender.

Portal Azure

Portal pertahanan

Garis waktu

Portal Azure

Garis waktu adalah bagian utama dari kontribusi halaman entitas untuk analitik perilaku di Microsoft Azure Sentinel. Hal ini menyajikan kisah tentang peristiwa terkait entitas, membantu Anda memahami aktivitas entitas dalam jangka waktu tertentu.

Anda dapat memilih rentang waktu dari beberapa opsi prasetel (seperti 24 jam terakhir), atau mengesetkannya ke jangka waktu kustom yang ditentukan. Selain itu, Anda dapat mengeset filter yang membatasi informasi di garis waktu untuk jenis peristiwa atau pemberitahuan tertentu.

Jenis item berikut disertakan dalam garis waktu.

• Pemberitahuan: setiap pemberitahuan di mana entitas didefinisikan sebagai entitas yang dipetakan. Perlu dicatat bahwa jika organisasi Anda telah membuat permberitahuan kustom menggunakan aturan analitik, Anda harus memastikan bahwa pemetaan entitas aturan dilakukan dengan benar.

• Marka buku: marka buku apa pun yang menyertakan entitas tertentu yang ditampilkan di halaman.

• Anomali: Deteksi UEBA berdasarkan garis besar dinamis yang dibuat untuk setiap entitas di berbagai input data dan terhadap aktivitas historisnya sendiri, rekan-rekannya, dan rekan-rekan organisasi secara keseluruhan.

• Aktivitas: agregasi peristiwa penting yang berkaitan dengan entitas. Berbagai aktivitas dikumpulkan secara otomatis, dan sekarang Anda dapat menyesuaikan bagian ini dengan menambahkan aktivitas yang Anda pilih sendiri.

Portal pertahanan

Garis waktu pada tab peristiwa Sentinel menambahkan bagian utama dari kontribusi halaman entitas ke analitik perilaku di platform operasi keamanan terpadu di Pertahanan Microsoft. Hal ini menyajikan kisah tentang peristiwa terkait entitas, membantu Anda memahami aktivitas entitas dalam jangka waktu tertentu.

Secara khusus, Anda akan melihat pemberitahuan dan peristiwa garis waktu peristiwa Sentinel dari sumber pihak ketiga yang dikumpulkan hanya oleh Microsoft Azure Sentinel, seperti syslog/CEF dan log kustom yang diserap melalui Agen Azure Monitor atau konektor kustom.

Jenis item berikut disertakan dalam garis waktu.

• Pemberitahuan: setiap pemberitahuan di mana entitas didefinisikan sebagai entitas yang dipetakan. Perlu dicatat bahwa jika organisasi Anda telah membuat permberitahuan kustom menggunakan aturan analitik, Anda harus memastikan bahwa pemetaan entitas aturan dilakukan dengan benar.

• Marka buku: marka buku apa pun yang menyertakan entitas tertentu yang ditampilkan di halaman.

• Anomali: Deteksi UEBA berdasarkan garis besar dinamis yang dibuat untuk setiap entitas di berbagai input data dan terhadap aktivitas historisnya sendiri, rekan-rekannya, dan rekan-rekan organisasi secara keseluruhan.

• Aktivitas: agregasi peristiwa penting yang berkaitan dengan entitas. Berbagai aktivitas dikumpulkan secara otomatis, dan sekarang Anda dapat menyesuaikan bagian ini dengan menambahkan aktivitas yang Anda pilih sendiri.

Garis waktu ini menampilkan informasi dari 24 jam terakhir. Periode ini saat ini tidak dapat disesuaikan.

Wawasan entitas

Wawasan entitas adalah kueri yang ditentukan oleh peneliti keamanan Microsoft untuk membantu analis Anda menginvestigasi dengan lebih efisien dan efektif. Wawasan tersebut disajikan sebagai bagian dari halaman entitas, dan memberikan informasi keamanan yang berharga tentang host dan pengguna, dalam bentuk data tabular dan char. Memiliki informasi di sini berarti Anda tidak perlu menuju ke Log Analytics. Wawasan tersebut mencakup data mengenai rincian masuk, penambahan grup, peristiwa anomali, dan banyak lagi, serta menyertakan algoritma ML canggih untuk mendeteksi perilaku anomali.

Wawasan didasarkan pada sumber data berikut:

• Syslog (Linux)
• SecurityEvent (Windows)
• AuditLogs (ID Microsoft Entra)
• SigninLogs (ID Microsoft Entra)
• OfficeActivity (Office 365)
• BehaviorAnalytics (UEBA Microsoft Azure Sentinel)
• Heartbeat (Agen Azure Monitor)
• CommonSecurityLog (Microsoft Azure Sentinel)

Secara umum, setiap wawasan entitas yang ditampilkan di halaman entitas disertai dengan tautan yang akan membawa Anda ke halaman tempat kueri yang mendasar wawasan ditampilkan, bersama dengan hasilnya, sehingga Anda dapat memeriksa hasilnya secara lebih mendalam.

• Di Microsoft Azure Sentinel di portal Azure, tautan akan membawa Anda ke halaman Log.
• Di platform operasi keamanan terpadu di portal Pertahanan Microsoft, tautan akan membawa Anda ke halaman Perburuan tingkat lanjut.

Bagaimana cara menggunakan halaman entitas

Halaman entitas dirancang untuk menjadi bagian dari beberapa skenario penggunaan, dan dapat diakses dari manajemen insiden, grafik investigasi, marka buku, atau langsung dari halaman pencarian entitas di bagian Perilaku entitas di menu utama Microsoft Sentinel.

Informasi halaman entitas disimpan dalam tabel BehaviorAnalytics, yang dijelaskan secara rinci dalam referensi UEBA Microsoft Sentinel.

Halaman entitas yang didukung

Microsoft Sentinel saat ini menawarkan halaman entitas berikut:

• Akun pengguna

• Host

• Alamat IP (Pratinjau)

  Catatan

  Halaman entitas alamat IP (sekarang disebut dalam pratinjau) berisi data geolokasi yang disediakan oleh layanan Inteligensi Ancaman Microsoft. Layanan ini menggabungkan data geolokasi dari solusi Microsoft sekaligus vendor dan mitra pihak ketiga. Data tersebut kemudian tersedia untuk analisis dan penyelidikan dalam konteks insiden keamanan. Untuk informasi selengkapnya, lihat juga Memperkaya entitas di Microsoft Sentinel dengan data geolokasi melalui REST API (Pratinjau publik).

• Sumber daya Azure (Pratinjau)

• Perangkat IoT (Pratinjau)—hanya di Microsoft Azure Sentinel di portal Azure untuk saat ini.

Langkah berikutnya

Dalam dokumen ini, Anda mempelajari cara mendapatkan informasi tentang entitas di Microsoft Sentinel menggunakan halaman entitas. Untuk informasi selengkapnya tentang entitas dan cara menggunakannya, lihat artikel berikut ini:

• Pelajari tentang entitas di Microsoft Azure Sentinel.
• Menyesuaikan aktivitas pada garis waktu halaman entitas.
• Mengidentifikasi ancaman lanjutan dengan Analitik Perilaku Pengguna dan Entitas (UEBA) di Microsoft Azure Sentinel
• Aktifkan analitik perilaku entitas di Microsoft Azure Sentinel.
• Lakukan perburuan ancaman keamanan.