Security Orchestration, Automation, and Response (SOAR) di Microsoft Azure Sentinel

Catatan

Azure Sentinel sekarang disebut Microsoft Sentinel, dan kami akan memperbarui halaman ini dalam beberapa minggu mendatang. Pelajari selengkapnyatentang peningkatan keamanan Microsoft terbaru.

Artikel ini menjelaskan kemampuan Security Orchestration, Automation, and Response (SOAR) Microsoft Azure Sentinel, serta menunjukkan manfaat penggunaan aturan dan playbook otomatisasi sebagai respons terhadap ancaman keamanan dapat meningkatkan efektivitas SOC Anda serta menghemat waktu dan sumber daya Anda.

Microsoft Azure Sentinel sebagai solusi SOAR

Masalahnya

Tim SIEM/SOC biasanya menerima banyak pemberitahuan keamanan dan insiden secara rutin dalam volume yang sangat besar sehingga personel yang ada merasa kewalahan. Hal ini sering menyebabkan banyaknya pemberitahuan yang diabaikan dan banyak insiden tidak diselidiki, sehingga organisasi rentan terhadap serangan yang luput dari perhatian.

Solusinya

Microsoft Azure Sentinel, selain menjadi sistem Security Information and Event Management (SIEM), juga merupakan platform untuk Security Orchestration, Automation, and Response (SOAR). Salah satu tujuan utamanya adalah untuk mengotomatiskan tugas pengayaan, respons, dan perbaikan berulang dan dapat diprediksi yang menjadi tanggung jawab Pusat Operasi Keamanan dan personel Anda (SOC/SecOps), sehingga menghemat waktu dan sumber daya untuk penyelidikan yang lebih mendalam serta pembasmian ancaman lanjutan. Otomatisasi memiliki berbagai bentuk di Microsoft Azure Sentinel, mulai dari aturan otomatisasi terpusat yang mengelola otomatisasi penanganan dan respons insiden, hingga playbook yang menjalankan serangkaian tindakan yang telah ditentukan guna menyediakan otomatisasi lanjutan yang kuat dan fleksibel untuk tugas respons ancaman Anda.

Aturan automasi

Aturan automasi (sekarang tersedia secara umum!) memungkinkan pengguna mengelola otomatisasi penanganan insiden secara terpusat. Selain memungkinkan Anda menetapkan playbook untuk insiden (bukan hanya untuk memberikan pemberitahuan seperti sebelumnya), aturan otomatisasi juga memungkinkan Anda mengotomatiskan respons untuk beberapa aturan analitik sekaligus, memberi tag, menetapkan, atau menutup insiden secara otomatis tanpa perlu menggunakan playbook, serta mengontrol urutan tindakan yang dijalankan. Aturan otomatisasi juga memungkinkan Anda untuk menerapkan otomatisasi saat insiden diperbarui (sekarang dalam Pratinjau), serta saat dibuat. Kemampuan baru ini akan semakin menyederhanakan penggunaan otomatisasi di Microsoft Sentinel dan akan memungkinkan Anda untuk menyederhanakan alur kerja yang kompleks untuk proses orkestrasi insiden Anda.

Pelajari hal ini lebih lanjut dengan penjelasan lengkap tentang aturan otomatisasi ini.

Playbook

Playbook adalah kumpulan tindakan respons serta remediasi dan logika yang dapat dijalankan dari Microsoft Azure Sentinel sebagai rutinitas. Playbook dapat membantu mengotomatiskan dan mengatur respons ancaman Anda. Ia dapat diintegrasikan dengan sistem lain baik internal maupun eksternal, dan dapat diatur untuk dijalankan secara otomatis sebagai respons terhadap pemberitahuan atau insiden tertentu, ketika dipicu oleh aturan analitik atau aturan otomatisasi. Playbook juga dapat dijalankan secara manual sesuai permintaan, sebagai respons terhadap pemberitahuan, dari halaman insiden.

Playbook di Microsoft Azure Sentinel didasarkan pada alur kerja yang dirancang di Azure Logic Apps, yakni layanan cloud yang membantu Anda menjadwalkan, mengotomatiskan, serta mengatur tugas dan alur kerja di seluruh sistem di semua perusahaan. Artinya, playbook dapat memanfaatkan semua kecanggihan fitur penyesuaian kemampuan integrasi dan orkestrasi Logic Apps. Selain itu, playbook juga dapat menggunakan alat desain yang mudah digunakan, serta skalabilitas, keandalan, dan tingkat layanan Tingkat 1 dari layanan Azure.

Pelajari hal ini lebih lanjut dengan penjelasan lengkap tentang playbook ini.

Langkah berikutnya

Dalam dokumen ini, Anda telah mempelajari cara Microsoft Azure Sentinel menggunakan otomatisasi untuk membantu SOC Anda beroperasi lebih efektif dan efisien.

• Untuk mempelajari otomatisasi penanganan insiden, lihat Mengotomatiskan penanganan insiden di Microsoft Azure Sentinel.
• Untuk mempelajari lebih lanjut opsi otomatisasi tingkat lanjut, lihat Mengotomatiskan respons ancaman dengan playbook di Microsoft Azure Sentinel.
• Untuk mulai membuat aturan otomatisasi, lihat Membuat dan menggunakan aturan otomatisasi Microsoft Sentinel untuk mengelola insiden
• Untuk bantuan dalam menerapkan otomatisasi lanjutan dengan playbook, lihat Tutorial: Menggunakan playbook untuk mengotomatiskan respons ancaman di Microsoft Sentinel.