Menggunakan tugas untuk mengelola insiden di Microsoft Azure Sentinel

Salah satu faktor terpenting dalam menjalankan operasi keamanan (SecOps) Anda secara efektif dan efisien adalah standarisasi proses. Analis SecOps diharapkan melakukan daftar langkah, atau tugas, dalam proses triaging, menyelidiki, atau memulihkan insiden. Menstandarkan dan memformalkan daftar tugas dapat membantu menjaga SOC Anda berjalan lancar, memastikan persyaratan yang sama berlaku untuk semua analis. Dengan cara ini, terlepas dari siapa yang bergeser, insiden akan selalu mendapatkan perawatan dan SLA yang sama. Analis tidak perlu menghabiskan waktu memikirkan apa yang harus dilakukan, atau khawatir kehilangan langkah penting. Langkah-langkah tersebut didefinisikan oleh manajer SOC atau analis senior (tingkat 2/3) berdasarkan pengetahuan keamanan umum (seperti NIST), pengalaman mereka dengan insiden sebelumnya, atau rekomendasi yang diberikan oleh vendor keamanan yang mendeteksi insiden tersebut.

Kasus penggunaan

• Analis SOC Anda dapat menggunakan satu daftar periksa pusat untuk menangani proses triase insiden, penyelidikan, dan respons, semuanya tanpa khawatir kehilangan langkah penting.

• Teknisi SOC atau analis senior Anda dapat mendokumentasikan, memperbarui, dan menyelaraskan standar respons insiden di seluruh tim dan pergeseran analis. Mereka juga dapat membuat daftar periksa tugas untuk melatih analis atau analis baru yang mengalami jenis insiden baru.

• Sebagai manajer SOC atau sebagai MSSP, Anda dapat memastikan insiden ditangani sesuai dengan SLA/SOP yang relevan.

Prasyarat

Peran Microsoft Sentinel Responder diperlukan untuk membuat aturan otomatisasi dan untuk melihat dan mengedit insiden, yang keduanya diperlukan untuk menambahkan, melihat, dan mengedit tugas.

Peran Kontributor Logic Apps diperlukan untuk membuat dan mengedit playbook.

Skenario

Analis

Ikuti tugas saat menangani insiden

Saat Anda memilih insiden dan Melihat detail lengkap, pada halaman detail insiden, Anda akan melihat di panel kanan semua tugas yang telah ditambahkan ke insiden tersebut, baik secara manual atau dengan aturan otomatisasi.

Perluas tugas untuk melihat deskripsi lengkapnya, termasuk pengguna, aturan otomatisasi, atau playbook yang membuatnya.

Tandai tugas selesai dengan memilih lingkaran "kotak centang".

Menambahkan tugas ke insiden di tempat

Anda dapat menambahkan tugas ke insiden terbuka yang sedang Anda kerjakan, baik untuk memberi diri Anda pengingat tentang tindakan yang telah Anda temukan yang perlu diambil, atau untuk merekam tindakan yang telah Anda ambil dari inisiatif Anda sendiri yang tidak muncul dalam daftar tugas. Tugas yang ditambahkan dengan cara ini hanya akan berlaku untuk insiden terbuka.

Pembuat alur kerja

Menambahkan tugas ke insiden dengan aturan otomatisasi

Gunakan tindakan Tambahkan tugas dalam aturan otomatisasi untuk secara otomatis menyatukan semua insiden dengan daftar periksa tugas untuk analis Anda. Atur kondisi nama aturan Analitik dalam aturan otomatisasi Anda untuk menentukan cakupan:

• Terapkan aturan otomatisasi ke semua aturan analitik untuk menentukan serangkaian tugas standar yang akan diterapkan ke semua insiden.

• Dengan menerapkan aturan otomatisasi Anda ke sekumpulan aturan analitik terbatas, Anda dapat menetapkan tugas tertentu ke insiden tertentu, sesuai dengan ancaman yang terdeteksi oleh aturan atau aturan analitik yang menghasilkan insiden tersebut.

Pertimbangkan bahwa urutan tugas muncul dalam insiden Anda ditentukan oleh waktu pembuatan tugas. Anda dapat mengatur urutan aturan otomatisasi sehingga aturan yang menambahkan tugas yang diperlukan untuk semua insiden akan berjalan terlebih dahulu, dan hanya setelah itu aturan apa pun yang menambahkan tugas yang diperlukan untuk insiden yang dihasilkan oleh aturan analitik tertentu. Dalam satu aturan, urutan di mana tindakan ditentukan mengatur urutan munculnya insiden.

Lihat insiden mana yang dicakup oleh aturan dan tugas otomatisasi yang ada, sebelum Anda membuat aturan otomatisasi baru.
Gunakan filter Tindakan pada daftar aturan Automation untuk melihat hanya aturan yang menambahkan tugas ke insiden, dan melihat aturan analitik mana yang berlaku untuk aturan otomatisasi tersebut, untuk memahami insiden mana tugas tersebut akan ditambahkan.

Menambahkan tugas ke insiden dengan playbook

Gunakan tindakan Tambahkan tugas dalam playbook (di konektor Microsoft Azure Sentinel) untuk menambahkan tugas secara otomatis ke insiden yang memicu playbook.

Kemudian, gunakan tindakan playbook lainnya—di konektor Logic Apps masing-masing—untuk menyelesaikan konten tugas.

Terakhir, gunakan tindakan Tandai tugas sebagai selesai (lagi di konektor Microsoft Azure Sentinel) untuk menandai tugas selesai secara otomatis.

Pertimbangkan skenario berikut sebagai contoh:

• Biarkan playbook menambahkan dan menyelesaikan tugas: Saat insiden dibuat, playbook akan memicu playbook yang melakukan hal berikut:

  1. Menambahkan tugas ke insiden untuk mengatur ulang kata sandi pengguna.
  2. Melakukan tugas dengan mengeluarkan panggilan API ke sistem provisi pengguna untuk mengatur ulang kata sandi pengguna.
  3. Menunggu respons dari sistem tentang keberhasilan atau kegagalan reset.
     • Jika pengaturan ulang kata sandi berhasil, playbook kemudian menandai tugas yang baru saja dibuat dalam insiden sebagai selesai.
     • Jika reset kata sandi gagal, playbook tidak akan menandai tugas sebagai selesai, menyerahkannya kepada analis untuk dilakukan.

• Biarkan playbook mengevaluasi apakah tugas bersyarat harus ditambahkan: Saat insiden dibuat, playbook akan memicu playbook yang meminta laporan alamat IP dari sumber inteligensi ancaman eksternal.

  • Jika alamat IP berbahaya, playbook menambahkan tugas tertentu (katakanlah, "Blokir alamat IP ini").
  • Jika tidak, playbook tidak mengambil tindakan lebih lanjut.

Gunakan aturan otomatisasi atau playbook untuk menambahkan tugas?

Pertimbangan apa yang harus menentukan metode mana yang harus digunakan untuk membuat tugas insiden?

• Aturan otomatisasi: Gunakan jika memungkinkan. Gunakan untuk tugas statis biasa yang tidak memerlukan interaktivitas.
• Playbook: Gunakan untuk kasus penggunaan tingkat lanjut—pembuatan tugas berdasarkan kondisi, atau tugas dengan tindakan otomatis terintegrasi.

Langkah berikutnya

• Pelajari bagaimana analis dapat menggunakan tugas untuk menangani alur kerja insiden di Microsoft Azure Sentinel.
• Pelajari selengkapnya tentang menyelidiki insiden di Microsoft Azure Sentinel.
• Pelajari cara menambahkan tugas ke grup insiden secara otomatis menggunakan aturan otomatisasi atau playbook.
• Pelajari selengkapnya tentang aturan otomatisasi dan cara membuatnya.
• Pelajari selengkapnya tentang playbook dan cara membuatnya.