Indikator ancaman untuk intelijen ancaman siber di Microsoft Sentinel

Artikel ini menjelaskan bagaimana solusi Security Information and Event Management (SIEM) berbasis cloud seperti Microsoft Sentinel dapat menggunakan indikator ancaman untuk mendeteksi, memberikan konteks, dan menginformasikan tanggapan terhadap ancaman dunia maya yang ada atau potensial.

Cyber threat intelligence (CTI) dapat berasal dari berbagai sumber, seperti umpan data sumber terbuka, komunitas berbagi intelijen ancaman, umpan intelijen berbayar, dan penyelidikan keamanan dalam organisasi. CTI dapat berkisar dari laporan tertulis tentang motivasi, infrastruktur, dan teknik aktor ancaman, hingga pengamatan khusus atas alamat IP, domain, dan hash file. CTI menyediakan konteks penting untuk aktivitas yang tidak biasa, sehingga personel keamanan dapat bertindak cepat untuk melindungi orang dan aset.

CTI yang paling banyak digunakan dalam solusi SIEM seperti Microsoft Sentinel adalah data indikator ancaman, terkadang disebut Indicators of Compromise (IoC). Indikator ancaman mengaitkan URL, hash file, alamat IP, dan data lain dengan aktivitas ancaman yang diketahui seperti phishing, botnet, atau perangkat lunak jahat. Bentuk inteligensi ancaman ini sering disebutsebagai inteligensi ancaman taktis, karena produk keamanan dan otomatisasi dapat menggunakannya dalam skala besar untuk melindungi dan mendeteksi potensi ancaman. Microsoft Sentinel dapat membantu mendeteksi, merespons, dan menyediakan konteks CTI untuk aktivitas siber berbahaya.

Potensi penggunaan kasus

• Hubungkan ke data indikator ancaman sumber terbuka dari server publik untuk mengidentifikasi, menganalisis, dan merespons aktivitas ancaman.
• Gunakan platform intelijen ancaman yang ada atau solusi khusus dengan Microsoft Graph tiIndicators API untuk menghubungkan dan mengontrol akses ke data indikator ancaman.
• Menyediakan konteks dan pelaporan CTI untuk penyelidik keamanan dan pemangku kepentingan.

Arsitektur

Alur kerja

Anda dapat menggunakan Microsoft Sentinel untuk:

• Mengimpor indikator ancaman dari server Structured Threat Information Expression (STIX) dan Trusted Automated Exchange of Intelligence Information (TAXII), atau dari solusi platform intelijen ancaman (TIP) apa pun
• Lihat dan kueri data indikator ancaman
• Buat aturan analitik untuk menghasilkan peringatan keamanan, insiden, dan respons otomatis dari data CTI
• Memvisualisasikan informasi CTI utama dalam buku kerja

Konektor data indikator ancaman

Microsoft Sentinel mengimpor indikator ancaman, sama seperti semua data peristiwa lainnya, yang menggunakan konektor data. Dua konektor data Microsoft Sentinel untuk indikator ancaman adalah Threat Intelligence - TAXII dan Threat Intelligence Platforms. Anda dapat menggunakan salah satu atau kedua konektor data, bergantung di mana organisasi Anda mendapatkan data indikator ancamannya. Aktifkan konektor data di setiap ruang kerja yang Anda inginkan untuk menerima data.

Inteligensi Ancaman - Konektor data TAXII

Standar industri yang paling banyak diadopsi untuk transmisi CTI adalah format data STIX dan protokol TAXII. Organisasi yang mendapatkan indikator ancaman dari solusi STIX/TAXII versi 2.x saat ini dapat menggunakan konektor data Threat Intelligence – TAXII untuk mengimpor indikator ancaman mereka ke Microsoft Sentinel. Klien Microsoft Sentinel TAXII bawaan mengimpor intelijen ancaman dari server TAXII 2.x.

Untuk petunjuk terperinci untuk mengimpor data indikator ancaman STIX/TAXII ke Microsoft Sentinel, lihat Mengimpor indikator ancaman dengan konektor data TAXII .

Konektor data Platform Inteligensi Ancaman

Banyak organisasi menggunakan solusi TIP seperti MISP, Anomali ThreatStream, ThreatConnect, atau Palo Alto Networks MineMeld untuk mengumpulkan umpan indikator ancaman dari berbagai sumber. Organisasi menggunakan TIP untuk mengumpulkan data, lalu memilih indikator ancaman mana yang akan diterapkan ke berbagai solusi keamanan seperti perangkat jaringan, solusi perlindungan ancaman lanjutan, atau SIEM seperti Microsoft Sentinel. Konektor data Threat Intelligence Platforms memungkinkan organisasi menggunakan solusi TIP terintegrasi mereka dengan Microsoft Sentinel.

Konektor data Threat Intelligence Platforms menggunakan API tiIndicators Microsoft Graph Security. Setiap organisasi yang memiliki TIP khusus dapat menggunakan konektor data ini untuk memanfaatkan API tiIndicators dan mengirim indikator ke Microsoft Sentinel, dan ke solusi keamanan Microsoft lainnya seperti Defender ATP.

Untuk petunjuk mendetail dalam mengimpor data TIP ke Microsoft Sentinel, lihat Mengimpor indikator ancaman dengan konektor data Platform.

Log indikator ancaman

Setelah mengimpor indikator ancaman ke Microsoft Sentinel dengan menggunakan konektor data Threat Intelligence - TAXII atau Threat Intelligence Platforms, Anda dapat melihat data yang diimpor dalam tabel Threat Intelligence Indicator di Log, tempat semua data peristiwa Microsoft Sentinel disimpan. Fitur Microsoft Sentinel seperti Analitik dan Buku kerja juga menggunakan tabel ini.

Untuk melihat indikator ancaman:

1. Di portal Microsoft Azure, cari dan pilih Microsoft Azure Sentinel.

   

2. Pilih ruang kerja tempat Anda mengimpor indikator ancaman.

3. Di menu navigasi sebelah kiri, pilih Logi.

4. Pada tab Tabel, cari dan pilih tabel Threat Intelligence Indicator.

5. Pilih ikon data pratinjau di samping nama tabel untuk melihat data tabel.

6. Pilih Lihat di editor kueri, lalu pilih panah dropdown di sebelah kiri di salah satu hasil untuk melihat informasi seperti contoh berikut:

   

Analitik Microsoft Sentinel

Penggunaan paling penting untuk indikator ancaman dalam solusi SIEM adalah untuk memperkuat analitik yang mencocokkan peristiwa dengan indikator ancaman untuk menghasilkan peringatan keamanan, insiden, dan respons otomatis. Microsoft Sentinel Analytics membuat aturan analitik yang dipicu sesuai jadwal untuk menghasilkan peringatan. Anda mengekspresikan parameter aturan sebagai kueri, dan mengonfigurasi seberapa sering aturan dijalankan, hasil kueri apa yang menghasilkan lansiran dan insiden keamanan, dan respons otomatis apa pun terhadap lansiran.

Anda dapat membuat aturan analitik baru dari awal, atau dari satu set template aturan Microsoft Sentinel bawaan yang dapat Anda gunakan apa adanya atau modifikasi untuk memenuhi kebutuhan Anda. Template aturan analitik yang mencocokkan indikator ancaman dengan data peristiwa semuanya berjudul dimulai dengan peta TI, dan semuanya bekerja dengan cara yang sama. Perbedaannya adalah jenis indikator ancaman yang digunakan: domain, email, hash file, alamat IP, atau URL, dan jenis peristiwa mana yang cocok. Setiap template mencantumkan sumber data yang diperlukan agar aturan berfungsi, sehingga Anda dapat melihat sekilas jika Anda memiliki peristiwa yang diperlukan yang sudah diimpor di Microsoft Sentinel.

Untuk petunjuk mendetail untuk membuat aturan analitik dari template, lihat Membuat aturan Analytics dari template.

Di Microsoft Sentinel, aturan analitik yang diaktifkan ada di tab Aturan aktif di bagian Analytics. Anda dapat mengedit, mengaktifkan, menonaktifkan, menggandakan, atau menghapus aturan aktif.

Peringatan keamanan yang dihasilkan ada di tabel SecurityAlert di bagian Log Microsoft Sentinel. Peringatan keamanan juga menghasilkan insiden keamanan, yang berada di bagian Insiden. Tim operasi keamanan dapat triase dan menyelidiki insiden untuk menentukan tanggapan yang tepat. Untuk informasi selengkapnya, lihat Tutorial: Menyelidiki insiden dengan Microsoft Azure Sentinel.

Anda juga dapat menetapkan otomatisasi untuk dipicu saat aturan menghasilkan peringatan keamanan. Otomatisasi di Microsoft Sentinel menggunakan Playbook, didukung oleh Azure Logic Apps. Untuk informasi lebih jauh, lihatTutorial: Menyiapkan respons ancaman otomatis di Microsoft Azure Sentinel.

Buku Kerja Intelijen Ancaman Microsoft Sentinel

Buku kerja menyediakan dasbor interaktif canggih yang memberi Anda wawasan tentang semua aspek Microsoft Azure Sentinel. Anda dapat menggunakan buku kerja Microsoft Sentinel untuk memvisualisasikan informasi kunci CTI. TTemplate yang disediakan memberikan titik awal, dan Anda dapat dengan mudah menyesuaikan template untuk kebutuhan bisnis Anda, membuat dasbor baru yang menggabungkan banyak sumber data yang berbeda, dan memvisualisasikan data Anda dengan cara yang unik. Buku kerja Microsoft Sentinel berdasarkan padabuku kerja Azure Monitor, sehingga dokumentasi dan template ekstensif tersedia.

Untuk instruksi mendetail tentang menampilkan dan mengedit Buku Kerja Intelijen Ancaman Sentinel Microsoft, lihat Melihat dan mengedit Buku Kerja Intelijen Ancaman .

Alternatif

• Indikator ancaman memberikan konteks yang berguna dalam pengalaman Microsoft Sentinel lainnya seperti Hunting dan Notebooks. Untuk informasi selengkapnya tentang penggunakan CTI di Buku Catatan, lihat Jupyter Notebooks di Sentinel.

• Setiap organisasi yang memiliki TIP khusus dapat menggunakan API Indicators Microsoft Graph Security untuk mengirim indikator ancaman ke solusi keamanan Microsoft lainnya seperti Defender ATP.

• Microsoft Sentinel menyediakan banyak konektor data bawaan lainnya untuk solusi Microsoft seperti Microsoft Threat Protection, sumber Microsoft 365, dan Microsoft Defender untuk Cloud Apps. Selain itu, ada konektor bawaan ke ekosistem keamanan yang lebih luas bagi solusi non-Microsoft. Anda juga dapat menggunakan format peristiwa umum, Syslog, atau REST-API untuk menghubungkan sumber data Anda dengan Microsoft Sentinel juga. Untuk informasi selengkapnya, lihat Menghubungkan sumber data.

Pertimbangan

• Konektor data Microsoft Sentinel Threat Intelligence saat ini dalam pratinjau publik. Fitur tertentu mungkin tidak didukung atau mungkin memiliki kemampuan terbatas.

• Microsoft Sentinel menggunakan kontrol akses berbasis peran Azure (Azure RBAC) untuk menetapkan peran bawaan Kontributor, Pembaca, dan Responder ke pengguna, grup, dan layanan Azure. Hal ini dapat berinteraksi dengan peran Azure (Pemilik, Kontributor, Pembaca) dan peran Analisis Log (pembaca Analisis Log, kontributor Analisis Log). Anda dapat membuat peran kustom, dan menggunakan Azure RBAC tingkat lanjut pada data yang Anda simpan di Microsoft Sentinel. Untuk mengetahui informasi selengkapnya, lihat Izin di Microsoft Sentinel.

• Microsoft Sentinel gratis selama 31 hari pertama di ruang kerja Azure Monitor Log Analytics mana pun. Setelah itu, Anda dapat menggunakan model Pay-As-You-Go atau Capacity Reservations untuk data yang Anda konsumsi dan simpan. Untuk mengetahui detailnya, lihat harga Microsoft Sentinel.

Menyebarkan skenario ini

Bagian berikut menyediakkan langkah-langkah terperinci tentang cara:

• Aktifkan konektor data Threat Intelligence – TAXII dan Threat Intelligence Platforms.
• Buat contoh aturan Microsoft Sentinel Analytics untuk menghasilkan peringatan keamanan dan insiden dari data CTI.
• Lihat dan edit Buku Kerja Intelijen Ancaman Sentinel Microsoft.

Impor indikator ancaman dengan konektor data TAXII

Server TAXII 2.x mengiklankan API Roots, yang merupakan URL yang menampung Kumpulan intelijen ancaman. Jika Anda sudah mengetahui SERVER TAXII API Root dan Collection ID yang ingin Anda ajak bekerja sama, Anda dapat melompat ke depan dan hanya mengaktifkan konektor TAXII di Microsoft Sentinel.

Jika Anda tidak memiliki API Root, Anda bisa mendapatkannya dari halaman dokumentasi penyedia intelijen ancaman, tetapi terkadang satu-satunya informasi yang tersedia adalah URL titik akhir penemuan. Anda dapat menemukan API Root dengan menggunakan titik akhir penemuan. Contoh berikut, kita akan menggunakan titik akhir penemuan server Anomali Limo ThreatStream TAXII 2.0.

1. Dari browser, navigasikan dan masuk ke titik akhir penemuan server ThreatStream TAXII 2.0, https://limo.anomali.com/taxii, pengguna dan tamu kata sandi. Setelah login, Anda akan melihat informasi berikut:

   {
      "api_roots":
      [
          "https://limo.anomali.com/api/v1/taxii2/feeds/",
          "https://limo.anomali.com/api/v1/taxii2/trusted_circles/",
          "https://limo.anomali.com/api/v1/taxii2/search_filters/"
      ],
      "contact": "info@anomali.com",
      "default": "https://limo.anomali.com/api/v1/taxii2/feeds/",
      "description": "TAXII 2.0 Server (guest)",
      "title": "ThreatStream Taxii 2.0 Server"
   }
   

2. Untuk menelusuri koleksi, masukkan Root API yang Anda dapatkan dari langkah sebelumnya ke browser Anda:.https://limo.anomali.com/api/v1/taxii2/feeds/collections/ Anda melihat informasi seperti:

   {
    "collections":
    [
        {
            "can_read": true,
            "can_write": false,
            "description": "",
            "id": "107",
            "title": "Phish Tank"
        },
            ...
        {
            "can_read": true,
            "can_write": false,
            "description": "",
            "id": "41",
            "title": "CyberCrime"
        }
    ]
   }
   

Anda sekarang memiliki semua informasi yang Anda butuhkan untuk menghubungkan Microsoft Sentinel ke satu atau beberapa koleksi server TAXII yang disediakan oleh Anomali Limo. Contohnya:

Untuk mengaktifkan Inteligensi Ancaman - konektor data TAXII di Microsoft Sentinel:

1. Di portal Microsoft Azure, cari dan pilih Microsoft Azure Sentinel.

2. Pilih ruang kerja tempat Anda ingin mengimpor indikator ancaman dari layanan TAXII.

3. Pilih Konektor data dari navigasi kiri, cari dan pilih Intelijen Ancaman – TAXII (Pratinjau) , lalu pilih Buka halaman konektor.

4. Pada halaman Konfigurasi, masukkan nama yang mudah digunakan (untuk server) seperti judul koleksi, API akar URL dan ID Koleksi yang ingin Anda impor, serta Nama Pengguna dan Kata Sandi jika diperlukan, lalu pilih Add.

   

Anda melihat koneksi Anda di bawah Daftar server TAXII 2.0 yang telah dikonfigurasi. Ulangi konfigurasi untuk masing-masing koleksi yang ingin Anda sambungkan dari server TAXII yang sama atau berbeda.

Mengimpor indikator ancaman dengan konektor data Platform

API iIndicator memerlukanID Aplikasi (klien), IDDirektori (penyewa), dan rahasia klien dari TIP atau solusi khusus Anda untuk menghubungkan dan mengirim indikator ancaman ke Microsoft Sentinel. Anda mendapatkan informasi ini dengan mendaftarkan TIP atau aplikasi solusi di Azure Active Directory (Azure AD), dan memberikan izin yang diperlukan.

Pertama, daftarkan aplikasi di Azure AD:

1. Pada portal Microsoft Azure, cari dan pilih Pendaftaran aplikasi, lalu pilih Pendaftaran baru.

2. Pada halaman Daftarkan aplikasi, masukkan nama untuk TIP atau pendaftaran aplikasi solusi khusus Anda, pilih Akun di direktori organisasi ini , lalu pilih Daftar.

   

3. Setelah pendaftaran berhasil, salin dan simpan nilai ID Aplikasi (klien) dan ID Direktori (penyewa) dari halaman Ikhtisar aplikasi terdaftar Anda.

Selanjutnya, berikan izin untuk TIP atau solusi khusus untuk terhubung ke Microsoft Graph Indikator API serta mengirim indikator ancaman. Administrator Global Azure AD juga harus memberikan izin ke aplikasi untuk organisasi Anda.

1. Pilih izin API dari navigasi kiri TIP terdaftar atau aplikasi solusi khusus Anda, lalu pilih Tambahkan izin.

2. Pada halaman Izin API Permintaan, pilih Microsoft Graph, lalu pilih Izin aplikasi.

3. Cari dan pilih Threa tIndicators.Read Write.Owned By, lalu pilih Tambahkan izin.

   

4. Pilih Berikan izin admin <untuk penyewa Anda > di halaman izin API aplikas i untuk memberikan izin bagi organisasi Anda. Jika Anda tidak memiliki peran Administrator Global di akun Anda, nonaktifkan tombol ini. Mintalah Administrator Global dari organisasi Anda untuk melakukan langkah ini. Setelah persetujuan diberikan untuk aplikasi Anda, Anda akan melihat tanda centang hijau di bawah Status.

   

5. Setelah izin dan persetujuan diberikan, pilih rahasia& Sertifikatdari navigasi kiri aplikasi Anda, dan pilih Rahasia klien baru.

6. Pilih Tambahkan untuk mendapatkan kunci API rahasia pada aplikasi Anda.

   

   Pastikan untuk menyalin dan menyimpan rahasia klien sekarang, karena Anda tidak dapat mengambil rahasia setelah keluar dari halaman ini.

Dalam TIP terintegrasi atau solusi khusus Anda, masukkan ID Aplikasi (klien), , ID Direktori (penyewa), dan nilai rahasia klien yang Anda simpan. Tetapkan Microsoft Sentinel sebagai target, dan tetapkan tindakan untuk masing-masing indikator. Alert adalah tindakan yang paling relevan untuk sebagian besar penggunaan Microsoft Sentinel. Microsoft Graph Indicators API sekarang mengirimkan indikator ancaman ke Microsoft Sentinel, yang tersedia untuk semua ruang kerja Microsoft Sentinel di organisasi Anda.

Terakhir, aktifkan konektor data Microsoft Sentinel Threat Intelligence Platforms, untuk mengimpor indikator ancaman yang dikirim oleh TIP atau solusi khusus Anda melalui Microsoft Graph Indikator API:

1. Di portal Microsoft Azure, cari dan pilih Microsoft Azure Sentinel.
2. pilih ruang kerja tempat Anda ingin mengimpor indikator ancaman dari TIP atau solusi khusus Anda.
3. Pilih Konektor data dari navigasi kiri, cari dan pilih Intelijen Ancaman – TAXII (Pratinjau) , lalu pilih Buka halaman konektor.
4. Karena Anda sudah menyelesaikan langkah-langkah registrasi dan konfigurasi, pilih Connect.

Dalam beberapa menit, TIP atau indikator ancaman solusi kustom Anda akan mulai mengalir ke ruang kerja Microsoft Sentinel.

Buat aturan Analytics dari template

Contoh ini menggunakan template aturan yang disebut entitas IP peta TI ke Azure Activity , yang membandingkan semua indikator ancaman jenis alamat IP dengan semua peristiwa alamat IP Aktivitas Azure Anda. Setiap kecocokan menghasilkan peringatan keamanan dan insiden terkait untuk diselidiki oleh tim operasi keamanan Anda.

Contoh mengasumsikan Anda telah menggunakan salah satu atau kedua konektor data intelijen ancaman untuk mengimpor indikator ancaman, dan konektor data Aktivitas Azure untuk mengimpor peristiwa tingkat langganan Azure Anda. Anda memerlukan kedua tipe data untuk berhasil menggunakan aturan analitik ini.

1. Di portal Microsoft Azure, cari dan pilih Microsoft Azure Sentinel.

2. Pilih ruang kerja tempat Anda mengimpor indikator ancaman dengan salah satu konektor data intelijen ancaman.

3. Di menu navigasi sebelah kiri, pilih Analytics.

4. Pada tab Rule template, cari dan pilih aturan (Pratinjau) entitas IP peta TI ke Azure Activity, lalu pilih Create rule.

5. Pada wizard aturan Analitik pertama - Buat aturan baru dari halaman template, pastikan Status aturan disetel ke Diaktifkan , dan ubah nama aturan atau deskripsi jika Anda mau. Pilih Berikutnya: Setel logika aturan >.

   

   Halaman logika aturan berisi kueri untuk aturan, entitas yang akan dipetakan, penjadwalan aturan, dan jumlah hasil kueri yang menghasilkan peringatan keamanan. Pengaturan template berjalan satu jam sekali, mengidentifikasi IoC alamat IP yang cocok dengan alamat IP apa pun dari peristiwa Azure, dan menghasilkan peringatan keamanan untuk semua kecocokan. Anda dapat menyimpan pengaturan ini, atau mengubahnya untuk memenuhi kebutuhan Anda. Setelah selesai, pilih Berikutnya: Pengaturan insiden (Pratinjau).

6. Di bawah Pengaturan insiden (Pratinjau), pastikan baBuat insiden dari lansiran yang dipicu oleh aturan analitik ini disetel ke Diaktifkan, dan pilih Berikutnya: Respons otomatis.

   Langkah ini memungkinkan Anda mengonfigurasi secara otomatisasi untuk memicu saat aturan mendapatkan peringatan keamanan. Otomatisasi di Microsoft Sentinel menggunakan Playbook, didukung oleh Azure Logic Apps. Untuk informasi lebih jauh, lihatTutorial: Menyiapkan respons ancaman otomatis di Microsoft Azure Sentinel. Untuk contoh ini, cukup pilih saja Berikutnya: Tinjau, dan setelah meninjau pengaturan, pilih Buat.

Aturan Anda langsung diaktifkan saat dibuat, lalu terpicu pada jadwal reguler ke depannya.

Tampilkan dan edit Buku Kerja Intelegensi Ancaman

1. Di portal Microsoft Azure, cari dan pilih Microsoft Azure Sentinel.

2. Pilih ruang kerja tempat Anda mengimpor indikator ancaman dengan salah satu konektor data intelijen ancaman.

3. Di menu navigasi sebelah kiri, pilih Workbooks.

4. Cari dan pilih workbook berjudul Threat Intelligence.

5. Pastikan Anda memiliki data dan koneksi yang diperlukan seperti yang ditunjukkan, kemudian pilih Simpan.

   

   Di jendela pop up, pilih lokasi, lalu pilih OK. Langkah ini menyimpan workbook sehingga Anda bisa mengubah dan menyimpan perubahannya.

6. Pilih Lihat workbook yang disimpan untuk membuka workbook dan melihat bagan bawaan yang disediakan templat.

Pilih Edit di panel bagian atas untuk mengedit teks di bagian atas workbook. Anda dapat memilih Edit di sebelah bagan mana pun untuk mengedit kueri dan pengaturan bagan itu.

Untuk menambahkan bagan baru yang menunjukkan indikator ancaman menurut jenis ancaman:

1. Pilih Edit di bagian atas halaman, gulir ke bawah halaman dan pilih Add, lalu pilih Add kueri.

2. Di bawah Kueri Log ruang kerja Analisis Log , masukkan kueri berikutnya:

   
   ThreatIntelligenceIndicator
   | summarize count() by ThreatType
   

3. Pilih Bar chart tarik turun Visualization, lalu pilih Selesai mengedit.

4. Di bagian atas halaman, pilih Selesai mengedit lalu pilih ikon Simpan untuk menyimpan bagan dan buku kerja baru Anda.

   

Langkah berikutnya

Kunjungi Microsoft Sentinel di GitHub untuk melihat kontribusi komunitas pada umumnya dan Microsoft. Di sini Anda akan menemukan ide, templat, dan percakapan baru tentang semua area fitur Microsoft Sentinel.

Buku kerja Microsoft Sentinel berdasarkan pada buku kerja Azure Monitor, sehingga dokumentasi dan template ekstensif tersedia. Tempat yang bagus untuk memulai adalah a Membuat laporan interaktif dengan buku kerja Azure Monitor. Ada juga komunitas yang kaya dari buku kerja Azure Monitor di GitHub di mana Anda dapat mengunduh templat tambahan dan berkontribusi templat Anda sendiri.

Untuk mempelajari selengkapnya tentang teknologi unggulan, lihat artikel berikut ini:

• Apa itu Microsoft Sentinel?
• Mulai Cepat: Melakukan on-board Microsoft Sentinel
• API Indikator Microsoft Graph Security
• Tutorial: Menyelidiki insiden dengan Microsoft Azure Sentinel
• Tutorial: Menyiapkan respons ancaman otomatis di Microsoft Azure Sentinel

Sumber daya terkait

• Mengotomatiskan integrasi Sentinel dengan Azure DevOps
• Memantau keamanan hibrid menggunakan Microsoft Defender untuk Cloud dan Microsoft Azure Sentinel
• Solusi keamanan Azure untuk AWS
• Memantau keamanan hibrid menggunakan Microsoft Defender untuk Cloud dan Microsoft Azure Sentinel