Pemberitahuan dan insiden keamanan di Microsoft Defender for Cloud
Defender for Cloud mengeluarkan pemberitahuan untuk sumber daya yang disebarkan di lingkungan Azure, lokal, dan cloud hibrid Anda.
Pemberitahuan keamanan dipicu oleh deteksi tingkat lanjut dan hanya tersedia dengan fitur keamanan yang ditingkatkan diaktifkan. Anda dapat memutakhirkan dari halaman Pengaturan Lingkungan, seperti yang dijelaskan di Mulai cepat: Aktifkan fitur keamanan yang ditingkatkan. Uji coba gratis selama 30 hari tersedia. Untuk detail harga dalam mata uang yang dipilih dan sesuai wilayah Anda, lihat daftar harga.
Apa itu pemberitahuan keamanan dan insiden keamanan?
Pemberitahuan adalah pemberitahuan yang dibuat oleh Defender for Cloud saat mendeteksi ancaman pada sumber daya Anda. Defender for Cloud memprioritaskan dan mencantumkan pemberitahuan, bersama dengan informasi yang diperlukan agar Anda dapat menyelidiki masalah dengan cepat. Defender for Cloud juga menyediakan langkah-langkah terperinci untuk membantu Anda memulihkan serangan. Data pemberitahuan disimpan selama 90 hari.
Insiden keamanan adalah kumpulan pemberitahuan terkait, bukan mencantumkan setiap pemberitahuan secara terpisah. Defender for Cloud menggunakan Korelasi pemberitahuan cerdas cloud untuk menghubungkan pemberitahuan yang berbeda dan sinyal fidelitas rendah ke dalam insiden keamanan.
Menggunakan insiden, Defender for Cloud memberi Anda satu tampilan kampanye serangan dan semua pemberitahuan terkait. Tampilan ini memungkinkan Anda untuk dengan cepat memahami tindakan apa yang dilakukan penyerang, dan sumber daya apa yang terpengaruh.
Menanggapi ancaman hari ini
Terdapat perubahan signifikan dalam lanskap ancaman selama 20 tahun terakhir. Sebelumnya, perusahaan biasanya hanya perlu mencemaskan perusakan situs web yang dilakukan oleh penyerang individu, yang sebagian besar hanya tertarik untuk melihat "apa yang bisa mereka lakukan". Penyerang saat ini jauh lebih canggih dan terorganisir. Mereka sering kali memiliki tujuan keuangan dan strategis yang spesifik. Mereka juga memiliki lebih banyak sumber daya yang siap pakai, karena mungkin didanai oleh negara-bangsa atau kejahatan terorganisir.
Perubahan realitas ini telah menyebabkan tingkat profesionalisme yang belum pernah terjadi sebelumnya di pangkat penyerang. Mereka tidak lagi tertarik dengan perusakan web. Mereka sekarang tertarik untuk mencuri informasi, rekening keuangan, dan data pribadi – apa pun yang dapat mereka gunakan untuk menghasilkan uang di pasar terbuka atau untuk memanfaatkan posisi bisnis, politik, atau militer tertentu. Yang lebih memprihatinkan daripada penyerang dengan tujuan finansial adalah para penyerang yang menyusup ke jaringan untuk membahayakan infrastruktur dan orang-orang.
Sebagai tanggapan, organisasi sering kali menggunakan berbagai solusi titik, yang berfokus pada mempertahankan perimeter perusahaan atau titik akhir dengan mencari tanda tangan serangan yang diketahui. Solusi ini cenderung menghasilkan pemberitahuan fidelitas rendah dengan volume tinggi, yang memerlukan analis keamanan untuk melakukan triase dan menyelidikinya. Sebagian besar organisasi kekurangan waktu dan keahlian yang dibutuhkan untuk menanggapi pemberitahuan ini – begitu banyak yang tidak tertangani.
Selain itu, penyerang telah mengembangkan metodenya untuk menumbangkan banyak pertahanan berbasis tanda tangan dan beradaptasi dengan lingkungan cloud. Pendekatan baru diperlukan untuk mengidentifikasi ancaman yang muncul dan mempercepat deteksi dan respons dalam waktu yang lebih singkat.
Pemantauan dan penilaian berkelanjutan
Microsoft Defender for Cloud dapat memanfaatkan keberadaan tim riset keamanan dan ilmu data di seluruh Microsoft yang terus memantau adanya perubahan dalam lanskap ancaman. Ini termasuk inisiatif berikut:
- Pemantauan intelijen ancaman: Intelegensi ancaman mencakup mekanisme, indikator, implikasi, dan saran yang dapat diterapkan tentang ancaman yang ada atau yang muncul. Informasi ini dibagikan di komunitas keamanan dan Microsoft terus memantau umpan inteligensi ancaman dari sumber internal dan eksternal.
- Berbagi sinyal: Wawasan dari tim keamanan di seluruh portofolio luas layanan cloud dan lokal Microsoft, server, dan perangkat titik akhir klien dibagikan dan dianalisis.
- Pakar keamanan Microsoft: Kerja sama yang berkelanjutan dengan tim di seluruh Microsoft yang bekerja di bidang keamanan khusus, seperti forensik dan deteksi serangan web.
- Penyesuaian deteksi: Algoritma dijalankan terhadap himpunan data pelanggan nyata dan peneliti keamanan bekerja dengan pelanggan untuk memvalidasi hasilnya. Positif benar dan salah digunakan untuk menyempurnakan algoritma pembelajaran mesin.
Upaya gabungan ini berujung pada deteksi baru yang lebih baik, yang dapat Anda langsung manfaatkan – Anda tidak bisa melakukan tindakan apa pun.
Bagaimana Defender for Cloud mendeteksi ancaman?
Peneliti keamanan Microsoft terus mencari ancaman. Berkat kehadiran global kami di cloud dan secara lokal, kami memiliki akses ke set telemetri yang luas. Kumpulan himpunan data yang luas dan beragam memungkinkan kami menemukan pola dan tren serangan baru di seluruh produk konsumen dan perusahaan lokal kami, serta layanan online kami. Dengan begitu, Defender for Cloud dapat dengan cepat memperbarui algoritme deteksinya saat penyerang merilis eksploitasi baru yang semakin canggih. Pendekatan ini membantu Anda mengimbangi lingkungan ancaman yang begitu dinamis.
Untuk mendeteksi ancaman nyata dan mengurangi kesalahan positif, Defender for Cloud mengumpulkan, menganalisis, dan mengintegrasikan data log dari sumber daya Azure dan jaringan Anda. Ini juga dapat digunakan dengan solusi mitra yang terhubung, seperti firewall dan solusi perlindungan titik akhir. Defender for Cloud menganalisis informasi ini, sering kali menghubungkan informasi dari berbagai sumber, untuk mengidentifikasi ancaman.
Defender for Cloud menyebarkan analitik keamanan tingkat lanjut, yang jauh melampaui pendekatan berbasis tanda tangan. Terobosan dalam teknologi big data dan pembelajaran mesin dimanfaatkan untuk mengevaluasi peristiwa di seluruh struktur cloud – mendeteksi ancaman yang tidak mungkin diidentifikasi dengan pendekatan manual dan prediksi evolusi serangan. Analisis keamanan ini meliputi:
Intelegensi ancaman terintegrasi: Microsoft memiliki sejumlah besar inteligensi ancaman global. Telemetri mengalir dari berbagai sumber, seperti Azure, Microsoft 365, Microsoft CRM online, Microsoft Dynamics AX, outlook.com, MSN.com, Microsoft Digital Crimes Unit (DCU), dan Microsoft Security Response Center (MSRC). Peneliti juga menerima informasi inteligensi ancaman yang dibagikan di antara penyedia cloud utama dan umpan dari pihak ketiga lainnya. Microsoft Defender for Cloud dapat menggunakan informasi ini untuk memberitahu Anda tentang ancaman dari pelaku yang diketahui.
Analitik perilaku: Analitik perilaku adalah teknik yang menganalisis dan membandingkan data dengan kumpulan pola yang diketahui. Namun, pola-pola ini bukanlah tanda tangan yang sederhana. Semuanya ditentukan melalui algoritma pembelajaran mesin kompleks yang diterapkan pada himpunan data besar. Analisis cermat dari para analis ahli terhadap perilaku jahat juga ditentukan dari sana. Microsoft Defender for Cloud dapat menggunakan analitik perilaku untuk mengidentifikasi sumber daya yang disusupi berdasarkan analisis log mesin virtual, log perangkat jaringan virtual, log fabric, dan sumber daya lainnya.
Deteksi anomali: Microsoft Defender for Cloud juga menggunakan deteksi anomali untuk mengidentifikasi ancaman. Berbeda dengan analitik perilaku (yang bergantung pada pola yang diketahui berasal dari himpunan data besar), deteksi anomali lebih "dipersonalisasi" dan berfokus pada baseline yang dikhususkan untuk penyebaran Anda. Pembelajaran mesin diterapkan untuk menilai aktivitas normal pada penyebaran Anda dan kemudian aturan dibuat untuk menentukan kondisi outlier yang dapat mewakili peristiwa keamanan.
Bagaimana pemberitahuan diklasifikasikan?
Defender for Cloud menetapkan tingkat keparahan ke pemberitahuan, untuk membantu Anda memprioritaskan urutan setiap pemberitahuan yang akan Anda tangani. Jadi, saat sumber daya disusupi, Anda dapat langsung menanganinya. Tingkat keparahan didasarkan pada seberapa yakin Defender for Cloud dalam temuan atau analitik yang digunakan untuk mengeluarkan pemberitahuan, serta tingkat keyakinan bahwa terdapat niat jahat di balik aktivitas yang mengarah pada pemberitahuan.
Catatan
Tingkat keparahan pemberitahuan ditampilkan secara berbeda di portal dan versi REST API sebelum 01-01-2019. Jika Anda menggunakan versi API yang lebih lama, tingkatkan versi tersebut untuk mendapatkan pengalaman konsisten yang dijelaskan di bawah.
| Tingkat keparahan | Tanggapan yang direkomendasikan |
|---|---|
| Tinggi | Ada peluang besar bahwa sumber daya Anda telah disusupi. Anda harus segera memeriksanya. Defender for Cloud memiliki keyakinan tinggi terhadap niat jahat dan temuan yang digunakan untuk mengeluarkan pemberitahuan. Misalnya, pemberitahuan yang mendeteksi eksekusi alat berbahaya yang diketahui seperti Mimikatz, alat umum yang digunakan untuk pencurian informasi masuk. |
| Medium | Ini mungkin aktivitas mencurigakan yang mungkin menunjukkan bahwa sumber daya telah disusupi. Keyakinan Defender for Cloud dalam analitik atau temuan berada di level sedang dan keyakinan niat jahat berada di level sedang hingga tinggi. Ini biasanya berupa pembelajaran mesin atau deteksi berbasis anomali. Misalnya, upaya masuk dari lokasi yang tidak wajar. |
| Rendah | Ini mungkin serangan positif yang jinak atau serangan yang diblokir. Defender for Cloud tidak cukup yakin bahwa niatnya berbahaya dan aktivitas tersebut mungkin tidak bermasalah. Misalnya, pembersihan log adalah tindakan yang mungkin terjadi saat penyerang mencoba menyembunyikan jejaknya, tetapi dalam banyak kasus ini merupakan operasi rutin yang dilakukan oleh admin. Defender for Cloud tidak memberi tahu Anda kapan serangan diblokir, kecuali jika ada kasus menarik yang sebaiknya Anda periksa. |
| Informasi | Sebuah insiden biasanya terdiri atas sejumlah pemberitahuan, beberapa di antaranya mungkin tampak hanya sebagai informasi, tetapi dalam konteks pemberitahuan lain mungkin sebaiknya dilihat lebih dekat. |
Ekspor pemberitahuan
Anda memiliki berbagai opsi untuk melihat pemberitahuan Anda di luar Defender for Cloud, termasuk:
- Unduh laporan CSV di dasbor pemberitahuan menyediakan ekspor satu kali ke CSV.
- Ekspor berkelanjutan dari pengaturan lingkungan memungkinkan Anda mengonfigurasi aliran pemberitahuan keamanan dan rekomendasi ke ruang kerja Log Analytics dan Azure Event Hubs. Pelajari lebih lanjut tentang ekspor berkelanjutan.
- Konektor Microsoft Sentinel mengalirkan pemberitahuan keamanan dari Microsoft Defender for Cloud ke Microsoft Sentinel. Pelajari selengkapnya tentang menghubungkan Microsoft Defender for Cloud dengan Microsoft Sentinel.
Pelajari tentang semua opsi ekspor di Pemberitahuan aliran ke solusi SIEM, SOAR, atau Manajemen Layanan TI dan Terus mengekspor data Defender for Cloud.
Korelasi pemberitahuan cerdas cloud (insiden)
Microsoft Defender for Cloud terus menganalisis beban kerja cloud hibrid dengan menggunakan analitik tingkat lanjut dan inteligensi ancaman untuk memberitahukan aktivitas berbahaya kepada Anda.
Cakupan ancaman semakin luas. Deteksi kompromi sekecil apa pun perlu dilakukan, dan triase pemberitahuan yang berbeda dan identifikasi serangan yang sebenarnya bisa jadi menantang bagi para analis keamanan. Defender for Cloud membantu analis mengatasi kelelahan pemberitahuan ini. Ini membantu mendiagnosis serangan saat terjadi, dengan menghubungkan berbagai pemberitahuan dan sinyal fidelitas rendah ke dalam insiden keamanan.
Analitik fusion adalah teknologi dan back end analitik yang mendukung insiden Defender for Cloud, memungkinkannya untuk menghubungkan berbagai peringatan dan sinyal kontekstual secara bersamaan. Fusion melihat berbagai sinyal yang dilaporkan pada langganan di seluruh sumber daya. Fusion menemukan pola yang mengungkapkan perkembangan serangan atau sinyal dengan informasi kontekstual bersama, yang menunjukkan bahwa Anda harus menggunakan prosedur respons terpadu untuk pola tersebut.
Analitik fusion menggabungkan pengetahuan domain keamanan dengan AI untuk menganalisis pemberitahuan, agar dapat menemukan pola serangan baru saat terjadi.
Defender for Cloud memanfaatkan MITRE Attack Matrix untuk mengaitkan pemberitahuan dengan niat yang mereka persepsikan, sehingga membantu memformalkan pengetahuan domain keamanan. Selain itu, dengan menggunakan informasi yang dikumpulkan untuk setiap langkah serangan, Defender for Cloud dapat mengabaikan aktivitas yang tampaknya merupakan langkah serangan, tetapi sebenarnya bukan.
Karena serangan sering kali terjadi di penyewa yang berbeda-beda, Defender for Cloud dapat menggabungkan algoritme AI untuk menganalisis urutan serangan yang dilaporkan pada setiap langganan. Teknik ini mengidentifikasi urutan serangan sebagai pola pemberitahuan yang umum, bukan hanya saling terkait secara kebetulan.
Selama investigasi insiden, analis sering kali membutuhkan konteks ekstra untuk mencapai keputusan tentang sifat ancaman dan cara menguranginya. Misalnya, walaupun anomali jaringan terdeteksi, kurangnya pemahaman tentang apa lagi yang terjadi di jaringan atau terkait dengan sumber daya yang ditargetkan akan menyulitkan pengambilan keputusan terkait tindakan selanjutnya. Untuk meringankan hal tersebut, insiden keamanan dapat mencakup artefak, kejadian terkait, dan informasi. Informasi tambahan yang tersedia untuk insiden keamanan bervariasi, tergantung pada jenis ancaman yang terdeteksi dan konfigurasi lingkungan Anda.
Tip
Untuk daftar pemberitahuan insiden keamanan yang dapat dihasilkan oleh analitik fusion, lihatTabel referensi pemberitahuan.
Untuk mengelola insiden keamanan Anda, lihat Cara mengelola insiden keamanan di Microsoft Defender for Cloud.
Langkah berikutnya
Dalam artikel ini, Anda mempelajari berbagai jenis pemberitahuan yang tersedia di Defender for Cloud. Untuk informasi selengkapnya, lihat:
- Pemberitahuan Keamanan di Log Azure Activity - Selain tersedia di portal Microsoft Azure atau secara terprogram, pemberitahuan dan insiden keamanan diaudit sebagai peristiwa di Log Aktivitas Azure
- Tabel referensi Peringatan Defender for Cloud
- Merespons pemberitahuan keamanan