Memvisualisasikan data yang dikumpulkan

Catatan

Azure Sentinel sekarang disebut Microsoft Sentinel, dan kami akan memperbarui halaman ini dalam beberapa minggu mendatang. Pelajari selengkapnyatentang peningkatan keamanan Microsoft terbaru.

Di artikel ini, Anda akan mempelajari cara cepat melihat dan memantau apa yang terjadi di lingkungan Anda dengan menggunakan Microsoft Azure Sentinel. Setelah menghubungkan sumber data ke Microsoft Azure Sentinel, Anda mendapatkan visualisasi dan analisis data instan sehingga Anda bisa mengetahui apa yang terjadi di semua sumber data yang terhubung. Microsoft Azure Sentinel memberi Anda buku kerja yang memberi Anda kekuatan penuh atas alat yang sudah tersedia di Azure serta tabel dan bagan yang dibangun untuk memberi Anda analitik untuk log dan kueri Anda. Anda bisa menggunakan buku kerja bawaan atau membuat buku kerja baru dengan mudah, dari awal atau berdasarkan buku kerja yang sudah ada.

Visualisasi

Untuk memvisualisasikan dan mendapatkan analisis tentang apa yang terjadi pada lingkungan Anda, pertama-tama, lihat dasbor gambaran umum untuk mendapatkan gambaran tentang postur keamanan organisasi Anda. Anda dapat mengeklik setiap elemen petak peta ini untuk menelusuri detail data mentah tempat petak peta tersebut dibuat. Untuk membantu Anda mengurangi kebisingan dan meminimalkan jumlah pemberitahuan yang harus Anda tinjau dan selidiki, Microsoft Azure Sentinel menggunakan teknik fusi untuk mengorelasikan pemberitahuan ke dalam insiden. Insiden adalah grup pemberitahuan terkait yang bersama-sama menciptakan kemungkinan ancaman yang dapat Anda selidiki dan atasi.

  • Di portal Microsoft Azure, pilih portal Microsoft Azure lalu pilih ruang kerja yang ingin Anda pantau.

    Microsoft Sentinel overview

  • Toolbar di bagian atas memberi tahu Anda berapa banyak peristiwa yang Anda dapatkan selama periode waktu yang dipilih, dan membandingkannya dengan 24 jam sebelumnya. Toolbar memberi tahu Anda dari peristiwa ini, pemberitahuan yang dipicu (angka kecil menunjukkan perubahan selama 24 jam terakhir), lalu memberi tahu Anda untuk peristiwa tersebut, berapa banyak yang terbuka, sedang berlangsung, dan ditutup. Pastikan tidak ada peningkatan atau penurunan jumlah peristiwa secara dramatis. Jika terjadi penurunan, bisa jadi koneksi berhenti melaporkan ke Microsoft Azure Sentinel. Jika terjadi peningkatan, sesuatu yang mencurigakan mungkin telah terjadi. Pastikan apakah Anda memiliki pemberitahuan baru.

    Microsoft Sentinel counters

Bagian utama halaman gambaran umum memberikan wawasan sekilas tentang status keamanan ruang kerja Anda:

  • Peristiwa dan pemberitahuan dari waktu ke waktu: Mencantumkan jumlah peristiwa dan berapa banyak pemberitahuan yang dibuat dari peristiwa tersebut. Jika Anda melihat lonjakan yang tidak biasa, Anda akan melihat pemberitahuan untuk itu - jika ada sesuatu yang tidak biasa saat ada lonjakan peristiwa tapi Anda tidak melihat pemberitahuan, itu mungkin menyebabkan kekhawatiran.

  • Potensi peristiwa berbahaya: Saat lalu lintas terdeteksi dari sumber yang diketahui berbahaya, Microsoft Azure Sentinel memberi tahu Anda di peta. Jika Anda melihat warna oranye, itu adalah lalu lintas masuk: seseorang mencoba mengakses organisasi Anda dari alamat IP berbahaya yang diketahui. Jika Anda melihat aktivitas Keluar (merah), artinya data dari jaringan Anda sedang di-streaming keluar dari organisasi Anda ke alamat IP berbahaya yang diketahui.

    Malicious traffic map

  • Insiden terbaru: Untuk menampilkan insiden Anda baru-baru ini, tingkat keparahannya, dan jumlah pemberitahuan yang terkait dengan insiden tersebut. Jika Anda melihat lonjakan mendadak dalam jenis pemberitahuan tertentu, itu bisa berarti bahwa ada serangan aktif yang saat ini berjalan. Misalnya, jika Anda memiliki lonjakan mendadak 20 peristiwa Pass-the-hash dari Microsoft Defender for Identity (sebelumnya Azure ATP), ada kemungkinan seseorang saat ini mencoba menyerang Anda.

  • Anomali sumber data: Analis data Microsoft membuat model yang terus mencari data dari sumber data Anda untuk anomali. Jika tidak ada anomali, tidak ada yang ditampilkan. Jika anomali terdeteksi, Anda harus mendalami mereka untuk melihat apa yang terjadi. Misalnya, klik lonjakan Aktivitas Azure. Anda dapat mengeklik Bagan untuk melihat kapan lonjakan terjadi, lalu memfilter aktivitas yang terjadi selama periode waktu tersebut untuk melihat apa yang menyebabkan lonjakan.

    Anomalous data sources

Menggunakan buku kerja bawaan

Buku kerja bawaan menyediakan data terintegrasi dari sumber data terhubung Anda untuk memungkinkan Anda mendalami peristiwa yang dihasilkan dalam layanan tersebut. Buku kerja bawaan termasuk Microsoft Azure AD, peristiwa aktivitas Azure, dan lokal, yang bisa merupakan data dari Peristiwa Windows dari server, dari pemberitahuan pihak pertama, dari pihak ketiga mana pun termasuk log lalu lintas firewall, Office 365, dan protokol yang tidak aman berdasarkan peristiwa Windows. Buku kerja didasarkan pada Azure Monitor Workbooks untuk memberi Anda kustomisasi dan fleksibilitas yang disempurnakan dalam mendesain buku kerja Anda sendiri. Untuk informasi selengkapnya, lihat Workbooks.

  1. Di bawah Pengaturan, pilih Buku Kerja. Di bawah Terinstal, Anda bisa melihat semua buku kerja yang terinstal. Di Semua, Anda dapat melihat seluruh galeri buku kerja bawaan yang tersedia untuk dipasang.
  2. Cari buku kerja tertentu untuk melihat seluruh daftar dan deskripsi apa yang ditawarkan setiap penawaran.
  3. Dengan asumsi Anda menggunakan Microsoft Azure AD, untuk memulai dan menjalankan Microsoft Azure Sentinel, kami menyarankan Anda menginstal setidaknya buku kerja berikut ini:
    • Microsoft Azure AD: Lakukan salah satu atau kedua hal berikut:

      • Masuk Microsoft Azure AD menganalisis masuk dari waktu ke waktu untuk melihat apakah ada anomali. Buku kerja ini menyediakan login yang gagal berdasarkan aplikasi, perangkat, dan lokasi sehingga Anda bisa melihat sekilas jika sesuatu yang tidak biasa terjadi. Perhatikan beberapa login yang gagal.
      • Log audit Microsoft Azure AD menganalisis aktivitas admin, seperti perubahan pada pengguna (tambah, hapus, dll.), pembuatan grup, dan modifikasi.
    • Tambahkan buku kerja untuk firewall Anda. Misalnya, tambahkan buku kerja Palo Alto. Buku kerja menganalisis lalu lintas firewall Anda, memberi Anda korelasi antara data firewall Anda dan peristiwa ancaman, dan menyoroti peristiwa mencurigakan di seluruh entitas. Buku kerja memberi Anda informasi tentang tren dalam lalu lintas Anda dan memungkinkan Anda menelusuri detail dan memfilter hasil.

      Palo Alto dashboard

Anda dapat menyesuaikan buku kerja dengan mengedit kueri utama query edit button. Anda dapat mengeklik tombol Log Analytics button untuk membuka Analitik Log untuk mengedit kueri di sana, dan Anda dapat memilih elipsis (...) dan pilih Sesuaikan data petak, yang memungkinkan Anda mengedit filter waktu utama, atau menghapus petak tertentu dari buku kerja.

Untuk informasi selengkapnya tentang menggunakan kueri, lihat Tutorial: Data visual di Log Analytics

Menambahkan petak peta baru

Untuk menambahkan petak peta baru, tambahkan ke buku kerja yang sudah ada, buku yang Anda buat atau buku kerja bawaan Microsoft Azure Sentinel.

  1. Di Log Analytics, buat petak peta menggunakan petunjuk dalam Tutorial: Data visual di Log Analytics.
  2. Setelah Anda membuat petak peta, di bawah Pin, pilih buku kerja tempat petak peta akan ditampilkan.

Membuat buku kerja baru

Anda bisa membuat buku kerja baru dari awal atau menggunakan buku kerja bawaan sebagai dasar untuk buku kerja baru Anda.

  1. Untuk membuat buku kerja baru dari awal, pilih Buku Kerja lalu +Buku kerja baru.
  2. Pilih langganan tempat buku kerja dibuat dan beri nama deskriptif. Setiap buku kerja adalah sumber daya Azure seperti yang lain, dan Anda bisa menetapkan perannya (Azure RBAC) untuk menentukan dan membatasi siapa yang bisa mengakses.
  3. Untuk mengaktifkannya agar muncul di buku kerja Anda untuk menyematkan visualisasi, Anda harus membagikannya. Klik Bagikan lalu Kelola pengguna.
  4. Gunakan Cek akses dan Penetapan peran seperti yang Anda lakukan untuk sumber daya Azure lainnya. Untuk informasi selengkapnya, lihat Bagikan buku kerja Azure menggunakan Azure RBAC.

Contoh buku kerja baru

Contoh kueri berikut memungkinkan Anda membandingkan tren lalu lintas selama berminggu-minggu. Anda dapat dengan mudah beralih vendor perangkat dan sumber data mana Anda menjalankan kueri. Contoh ini menggunakan SecurityEvent dari Windows, Anda dapat mengalihkannya untuk berjalan di AzureActivity atau CommonSecurityLog di firewall lain.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Anda mungkin ingin membuat kueri yang menggabungkan data dari berbagai sumber. Anda bisa membuat kueri yang melihat log audit Microsoft Azure Active Directory untuk pengguna baru yang baru saja dibuat, lalu memeriksa log Azure Anda untuk melihat apakah pengguna mulai membuat perubahan penetapan peran dalam waktu 24 jam sejak pembuatan. Aktivitas mencurigakan itu akan muncul di dasbor ini:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Anda bisa membuat buku kerja yang berbeda berdasarkan peran orang yang melihat data dan apa yang mereka cari. Misalnya, Anda bisa membuat buku kerja untuk admin jaringan Anda yang menyertakan data firewall. Anda juga bisa membuat buku kerja berdasarkan seberapa sering Anda ingin melihatnya, apakah ada hal-hal yang ingin Anda tinjau setiap hari, dan item lain yang ingin Anda periksa satu jam sekali, misalnya, Anda mungkin ingin melihat masuk Microsoft Azure AD Anda setiap jam untuk mencari anomali.

Buat deteksi baru

Hasilkan deteksi pada sumber data yang Anda hubungkan ke Microsoft Azure Sentinel untuk menyelidiki ancaman di organisasi Anda.

Saat Anda membuat deteksi baru, manfaatkan deteksi bawaan yang dibuat oleh peneliti keamanan Microsoft yang disesuaikan dengan sumber data yang Anda hubungkan.

Untuk melihat semua deteksi siap pakai, buka Analytics lalu Template Aturan. Tab ini berisi semua aturan bawaan Microsoft Azure Sentinel.

Use built-in detections to find threats with Microsoft Sentinel

Untuk informasi lebih lanjut tentang deteksi siap pakai, lihat Mendapatkan analitik bawaan.

Langkah berikutnya

Dalam mulai cepat ini, Anda belajar cara memulai menggunakan Microsoft Azure Sentinel. Lanjutkan ke artikel untuk mengetahui cara mendeteksi ancaman.

Buat aturan deteksi ancaman khusus untuk mengotomatiskan respons Anda terhadap ancaman.