Secara otomatis membuat insiden dari pemberitahuan keamanan Microsoft
Pemberitahuan yang dipicu dalam solusi keamanan Microsoft yang terhubung ke Microsoft Azure Sentinel, seperti Microsoft Defender for Cloud Apps dan Microsoft Defender untuk Identitas, tidak secara otomatis membuat insiden di Microsoft Azure Sentinel. Secara default, saat Anda menyambungkan solusi Microsoft ke Microsoft Azure Sentinel, pemberitahuan apa pun yang dihasilkan dalam layanan tersebut akan disimpan sebagai data mentah di Microsoft Azure Sentinel, dalam tabel SecurityAlert di ruang kerja Microsoft Azure Sentinel Anda. Anda kemudian dapat menggunakan data tersebut seperti data mentah lainnya yang Anda serap ke Microsoft Sentinel.
Anda dapat dengan mudah mengonfigurasi Microsoft Azure Sentinel untuk secara otomatis membuat insiden setiap kali pemberitahuan dipicu dalam solusi keamanan Microsoft yang terhubung, dengan mengikuti petunjuk dalam artikel ini.
Prasyarat
Sambungkan solusi keamanan Anda dengan menginstal solusi yang sesuai dari Hub Konten di Microsoft Azure Sentinel dan menyiapkan konektor data. Untuk informasi selengkapnya, lihat Menemukan dan mengelola konten siap pakai Microsoft Azure Sentinel dan konektor data Microsoft Azure Sentinel.
Menggunakan aturan analitik pembuatan insiden Keamanan Microsoft
Gunakan templat aturan yang tersedia di Microsoft Azure Sentinel untuk memilih solusi keamanan Microsoft yang terhubung mana yang harus membuat insiden Microsoft Azure Sentinel secara otomatis. Anda juga dapat mengedit aturan untuk menentukan opsi yang lebih spesifik untuk memfilter pemberitahuan yang dihasilkan oleh solusi keamanan Microsoft yang akan membuat insiden di Microsoft Azure Sentinel. Misalnya, Anda dapat memilih untuk membuat insiden Microsoft Azure Sentinel secara otomatis hanya dari peringatan Pertahanan Microsoft untuk Cloud dengan tingkat keparahan tinggi.
Di portal Azure di bagian Microsoft Azure Sentinel, pilih Analitik.
Pilih tab Templat aturan untuk melihat semua templat aturan analitik. Untuk menemukan templat aturan lainnya, buka Hub konten di Microsoft Azure Sentinel.
Pilih pola dasar aturan analitik keamanan Microsoft yang ingin Anda gunakan, dan pilih Buat aturan.
Anda dapat mengubah detail aturan, dan memilih untuk memfilter pemberitahuan yang akan membuat insiden berdasarkan tingkat keparahan pemberitahuan atau berdasarkan teks yang terkandung dalam nama pemberitahuan.
Misalnya, jika Anda memilih Pertahanan Microsoft untuk Cloud di bidang Layanan keamanan Microsoft dan memilih Tinggi di bidang Filter berdasarkan keparahan, hanya pemberitahuan keamanan keparahan tinggi yang akan secara otomatis membuat insiden di Microsoft Sentinel.
Anda juga dapat membuat aturan keamanan Microsoft baru yang memfilter pemberitahuan dari berbagai layanan keamanan Microsoft dengan mengeklik +Buat dan pilih aturan pembuatan insiden Microsoft.
Anda dapat membuat lebih dari satu aturan analitik Keamanan Microsoft per jenis layanan keamanan Microsoft. Hal ini tidak menduplikat insiden, karena setiap aturan digunakan sebagai filter. Meskipun pemberitahuan cocok dengan lebih dari satu aturan analitik Keamanan Microsoft, hanya satu insiden Microsoft Azure Sentinel yang akan dibuat.
Mengaktifkan pembuatan insiden secara otomatis selama tersambung
Saat menghubungkan solusi keamanan Microsoft, Anda dapat memilih apakah Anda menginginkan pemberitahuan dari solusi keamanan membuat insiden secara otomatis di Microsoft Azure Sentinel.
Menyambungkan sumber data solusi keamanan Microsoft.
Pada Buat insiden pilih Aktifkan untuk mengaktifkan aturan analitik default yang membuat insiden secara otomatis dari pemberitahuan yang dihasilkan dalam layanan keamanan tersambung. Anda kemudian dapat mengedit aturan ini di Analitik lalu Aturan aktif.
Langkah berikutnya
- Untuk memulai dengan Microsoft Sentinel, Anda memerlukan langganan Microsoft Azure. Jika belum berlangganan, Anda dapat mendaftar untuk mendapatkan coba gratis.
- Pelajari cara mengorientasikan data Anda ke Microsoft Azure Sentinel dan mendapatkan visibilitas ke dalam data Anda dan ke potensi ancaman.