Menyambungkan peringatan Microsoft Defender untuk Cloud ke Microsoft Sentinel

Catatan

Azure Sentinel sekarang disebut Microsoft Sentinel, dan kami akan memperbarui halaman ini dalam beberapa minggu mendatang. Pelajari selengkapnyatentang peningkatan keamanan Microsoft terbaru.

Latar belakang

Catatan

• Microsoft Defender untuk Cloud sebelumnya dikenal sebagai Azure Security Center.
• Fitur keamanan Defender untuk Cloud yang ditingkatkan sebelumnya dikenal secara kolektif sebagai Azure Defender.

Perlindungan beban kerja cloud terintegrasi Microsoft Defender untuk Cloud memungkinkan Anda mendeteksi dan merespons ancaman dengan cepat di seluruh beban kerja hibrida dan multi-cloud.

Konektor ini memungkinkan Anda mengalirkan peringatan keamanan dari Defender untuk Cloud ke Microsoft Sentinel, sehingga Anda dapat melihat, menganalisis, dan menanggapi peringatan Defender, dan insiden yang dihasilkannya, dalam konteks ancaman organisasi yang lebih luas.

Karena fitur keamanan Microsoft Defender untuk Cloud yang ditingkatkan diaktifkan per langganan, konektor data ini juga diaktifkan atau dinonaktifkan secara terpisah untuk setiap langganan.

Catatan

Untuk informasi tentang ketersediaan fitur di cloud Pemerintah AS, lihat tabel Microsoft Azure Sentinel di ketersediaan fitur Cloud untuk pelanggan Pemerintah AS.

Sinkronisasi pemberitahuan

• Saat Anda menghubungkan Pertahanan Microsoft untuk Cloud ke Microsoft Azure Sentinel, status pemberitahuan keamanan yang diserap ke dalam Microsoft Azure Sentinel disinkronkan di antara kedua layanan tersebut. Jadi, misalnya, saat pemberitahuan ditutup di Defender for Cloud, pemberitahuan itu juga akan tampil dengan kondisi tertutup di Microsoft Sentinel.

• Mengubah status pemberitahuan di Pertahanan Microsoft untuk Cloud tidak akan memengaruhi status insiden Microsoft Azure Sentinel apa pun yang berisi pemberitahuan Microsoft Azure Sentinel, hanya pemberitahuan itu sendiri.

Sinkronisasi pemberitahuan dua arah

• Mengaktifkan sinkronisasi dua arah akan secara otomatis menyinkronkan status pemberitahuan keamanan awal dengan insiden Microsoft Azure Sentinel yang berisi pemberitahuan tersebut. Jadi, misalnya, saat insiden Microsoft Azure Sentinel yang berisi pemberitahuan keamanan ditutup, peringatan awal yang sesuai akan ditutup di Pertahanan Microsoft untuk Cloud secara otomatis.

Prasyarat

• Anda harus memiliki izin baca dan tulis di ruang kerja Microsoft Azure Sentinel.

• Anda harus memiliki peran Pembaca Keamanan dalam langganan log yang Anda alirkan.

• Anda perlu mengaktifkan setidaknya satu paket dalam Pertahanan Microsoft untuk Cloud untuk setiap langganan tempat Anda ingin mengaktifkan konektor. Untuk mengaktifkan paket Pertahanan Microsoft, Anda harus memiliki peran Admin Keamanan untuk langganan tersebut.

• Untuk mengaktifkan sinkronisasi dua arah, Anda harus memiliki peran Kontributor atau Admin Keamanan pada langganan yang relevan.

Terhubung ke Pertahanan Microsoft untuk Cloud

1. Di Microsoft Azure Sentinel, pilih Konektor data dari menu navigasi.

2. Dari galeri konektor data, pilih Pertahanan Microsoft untuk Cloud, lalu pilih Buka halaman konektor di panel detail.

3. Di bagian Konfigurasi, Anda akan melihat daftar langganan di penyewa Anda, dan status koneksinya ke Pertahanan Microsoft untuk Cloud. Pilih tombol Status di samping setiap langganan yang pemberitahuannya ingin dialirkan ke Microsoft Azure Sentinel. Jika Anda ingin menghubungkan beberapa langganan sekaligus, Anda dapat melakukan ini dengan menandai kotak centang di samping langganan yang relevan dan kemudian memilih tombol Hubungkan pada bilah di atas daftar.

   Catatan

   • Kotak centang dan sakelar Hubungkan hanya akan aktif pada langganan tempat Anda memiliki izin yang diperlukan.
   • Tombol Hubungkan hanya akan aktif jika setidaknya satu kotak centang langganan telah ditandai.

4. Untuk mengaktifkan sinkronisasi dua arah pada langganan, cari langganan dalam daftar, lalu pilih Aktif dari menu drop-down di kolom Sinkronisasi dua arah. Untuk mengaktifkan sinkronisasi dua arah pada beberapa langganan sekaligus, tandai kotak centang mereka dan pilih tombol Aktifkan sinkronisasi dua arah pada bilah di atas daftar.

   Catatan

   • Kotak centang dan daftar tarik-turun hanya akan aktif pada langganan tempat Anda memiliki izin yang diperlukan.
   • Tombol Aktifkan sinkronisasi dua arah hanya akan aktif jika setidaknya satu kotak centang langganan telah ditandai.

5. Di kolom Paket Pertahanan Microsoft dari daftar, Anda dapat melihat apakah paket Pertahanan Microsoft diaktifkan di langganan Anda (prasyarat untuk mengaktifkan konektor). Nilai untuk setiap langganan di kolom ini akan kosong (artinya tidak ada paket Defender yang diaktifkan), "Semua diaktifkan," atau "Beberapa diaktifkan." Kolom yang mengatakan "Beberapa diaktifkan" juga akan memiliki link Aktifkan semua yang dapat Anda pilih, yang akan membawa Anda ke dasbor konfigurasi Microsoft Defender untuk Cloud untuk langganan tersebut, tempat Anda dapat memilih paket Defender untuk diaktifkan. Tombol tautan Aktifkan Pertahanan Microsoft untuk semua langganan pada bilah di atas daftar akan mengarahkan Anda ke halaman Memulai Pertahanan Microsoft untuk Cloud, tempat Anda dapat memilih langganan untuk mengaktifkan Pertahanan Microsoft untuk Cloud sekaligus.

   

6. Anda dapat memilih apakah Anda ingin pemberitahuan dari Pertahanan Microsoft untuk Cloud menghasilkan insiden di Microsoft Azure Sentinel secara otomatis. Di bawah Buat insiden, pilih Diaktifkan untuk mengaktifkan aturan analitik default yang akan secara otomatis membuat insiden dari pemberitahuan. Anda kemudian dapat mengedit aturan ini di bagian Analitik, di tab Aturan aktif.

   Tip

   Saat mengonfigurasi aturan analitik kustom untuk pemberitahuan dari Pertahanan Microsoft untuk Cloud, pertimbangkan keparahan pemberitahuan agar tidak membuka insiden untuk pemberitahuan informatif.

   Pemberitahuan informatif di Pertahanan Microsoft untuk Cloud tidak mewakili risiko keamanan sendiri, dan hanya relevan dalam konteks insiden terbuka yang sudah ada. Untuk informasi selengkapnya, lihat Pemberitahuan dan insiden keamanan di Pertahanan Microsoft untuk Cloud.

Temukan dan analisis data Anda

Catatan

Sinkronisasi pemberitahuan di kedua arah dapat memakan waktu beberapa menit. Perubahan status pemberitahuan mungkin tidak ditampilkan segera.

• Pemberitahuan keamanan disimpan dalam tabel SecurityAlert di ruang kerja Log Analytics Anda.

• Untuk mengkueri pemberitahuan keamanan di Log Analytics, salin berikut ini ke jendela kueri Anda sebagai titik awal:

  SecurityAlert 
  | where ProductName == "Azure Security Center"
  

• Lihat tab Langkah berikutnya di halaman konektor untuk kueri sampel tambahan yang berguna, templat aturan analitik, dan buku kerja yang direkomendasikan.

Langkah berikutnya

Dalam dokumen ini, Anda telah mempelajari cara menghubungkan Pertahanan Microsoft untuk Cloud ke Microsoft Azure Sentinel dan menyinkronkan pemberitahuan di antaranya. Untuk mempelajari selengkapnya tentang Microsoft Azure Sentinel, lihat artikel berikut:

• Pelajari cara mendapatkan visibilitas ke data Anda dan potensi ancaman.
• Mulai mendeteksi ancaman dengan Microsoft Azure Sentinel.
• Tulis aturan Anda sendiri untuk mendeteksi ancaman.