Apa itu Microsoft Sentinel?

Microsoft Sentinel adalah solusi asli cloud skalabel yang menyediakan:

  • Informasi keamanan dan manajemen acara (SIEM)
  • Orkestrasi keamanan, otomatisasi, dan respons (SOAR)

Microsoft Sentinel memberikan analisis keamanan cerdas dan intelijensi ancaman di seluruh perusahaan. Dengan Microsoft Sentinel, Anda mendapatkan satu solusi untuk deteksi serangan, visibilitas ancaman, perburuan proaktif, dan respons ancaman.

Microsoft Sentinel adalah pandangan mata burung Anda di seluruh perusahaan yang mengurangi stres atas serangan yang semakin canggih, meningkatkan volume pemberitahuan, dan jangka waktu resolusi panjang.

Catatan

Microsoft Sentinel mewarisi praktik pemeriksaan perubahan dan kekekalan Azure Monitor. Meskipun Azure Monitor adalah platform data khusus tambahan, Azure Monitor mencakup ketentuan untuk menghapus data untuk tujuan kepatuhan.

  • Mengumpulkan data pada skala cloud di semua pengguna, perangkat, aplikasi, dan infrastruktur, baik di lingkungan lokal maupun di beberapa cloud.

  • Deteksi ancaman yang sebelumnya tidak terdeteksi, dan minimalkan positif palsu menggunakan analitik Microsoft dan inteligensi ancaman yang tak tertandingi.

  • Selidiki ancaman dengan kecerdasan buatan, dan buru aktivitas mencurigakan secara berskala, memanfaatkan pekerjaan keamanan siber bertahun-tahun di Microsoft.

  • Tanggapi insiden dengan cepat dengan orkestrasi bawaan dan otomatisasi tugas umum.

Microsoft Sentinel secara asli menggabungkan layanan Azure yang telah terbukti, seperti Log Analytics, dan Logic Apps. Microsoft Sentinel memperkaya penyelidikan dan deteksi Anda dengan AI. Ini menyediakan aliran inteligensi ancaman Microsoft dan memungkinkan Anda membawa inteligensi ancaman Anda sendiri.

Catatan

Layanan ini mendukung Azure Lighthouse, yang memungkinkan penyedia layanan masuk ke penyewa mereka sendiri untuk mengelola langganan dan grup sumber daya yang telah didelegasikan pelanggan.

Mengumpulkan data dengan menggunakan konektor data

Untuk mengaktifkan Microsoft Sentinel, Anda harus terhubung ke sumber data Anda.

Microsoft Sentinel hadir dengan banyak konektor untuk solusi Microsoft, tersedia langsung dan menyediakan integrasi real time. Beberapa konektor ini meliputi:

  • Sumber Microsoft seperti Pertahanan Microsoft XDR, Microsoft Defender untuk Cloud, Office 365, Pertahanan Microsoft untuk IoT, dan banyak lagi.

  • Sumber layanan Azure seperti ID Microsoft Entra, Aktivitas Azure, Azure Storage, Azure Key Vault, layanan Azure Kubernetes, dan banyak lagi.

Microsoft Sentinel memiliki konektor bawaan ke ekosistem keamanan dan aplikasi yang lebih luas untuk solusi non-Microsoft. Anda juga dapat menggunakan format peristiwa umum, Syslog, atau REST-API untuk menghubungkan sumber data Anda dengan Microsoft Sentinel juga.

Untuk informasi selengkapnya, lihat Temukan konektor data Anda.

Screenshot of the data connectors page in Microsoft Sentinel that shows a list of available connectors.

Buat laporan interaktif dengan buku kerja

Setelah Anda masuk ke Microsoft Sentinel, pantau data Anda dengan menggunakan integrasi dengan buku kerja Azure Monitor.

Buku kerja ditampilkan secara berbeda di Microsoft Sentinel daripada di Azure Monitor. Mungkin berguna bagi Anda untuk melihat cara membuat buku kerja di Azure Monitor. Melalui integrasi ini, Microsoft Sentinel memungkinkan Anda untuk membuat buku kerja kustom di seluruh data Anda. Microsoft Sentinel juga dilengkapi dengan templat buku kerja bawaan untuk memungkinkan Anda memperoleh wawasan dengan cepat di seluruh data segera setelah Anda tersambung ke sumber data.

Screenshot of workbooks page in Microsoft Sentinel with a list of available workbooks.

Buku kerja ditujukan untuk insinyur SOC dan analis dari semua tingkatan untuk memvisualisasikan data.

Buku kerja paling baik digunakan untuk tampilan data Microsoft Sentinel tingkat tinggi, dan tidak memerlukan pengetahuan pengkodean. Namun, Anda tidak dapat mengintegrasikan buku kerja dengan data eksternal.

Menghubungkan pemberitahuan ke insiden dengan menggunakan aturan analitik

Untuk membantu Anda mengurangi kebisingan dan meminimalkan jumlah peringatan yang harus Anda tinjau dan selidiki, Microsoft Sentinel menggunakan analitik untuk mengkorelasi peringatan menjadi insiden. Insiden adalah grup pemberitahuan terkait yang bersama-sama menciptakan kemungkinan ancaman yang dapat Anda selidiki dan atasi. Gunakan aturan korelasi bawaan apa adanya, atau gunakan sebagai titik awal untuk membangun aturan Anda sendiri. Microsoft Sentinel juga menyediakan aturan pembelajaran mesin untuk memetakan perilaku jaringan Anda lalu mencari anomali di seluruh sumber daya Anda. Analitik ini menghubungkan titik-titik, dengan menggabungkan peringatan keakuratan rendah tentang entitas yang berbeda ke dalam potensi insiden keamanan dengan fidelitas tinggi.

Screenshot of the incidents page in Microsoft Sentinel with a list of open incidents.

Mengotomatiskan dan mengatur tugas umum dengan menggunakan playbook

Otomatiskan tugas umum Anda dan sederhanakan orkestrasi keamanan dengan playbook yang terintegrasi dengan layanan Azure dan alat yang ada.

Solusi otomatisasi dan orkestrasi Microsoft Sentinel menyediakan arsitektur yang sangat dapat diperluas yang memungkinkan otomatisasi terukur saat teknologi dan ancaman baru muncul. Untuk membangun playbook dengan Azure Logic Apps, Anda dapat memilih dari galeri yang terus berkembang dengan ratusan konektor untuk berbagai layanan dan sistem. Konektor ini memungkinkan Anda menerapkan logika kustom apa pun di alur kerja Anda, misalnya:

  • ServiceNow
  • Jira
  • Zendesk
  • Permintaan HTTP
  • Microsoft Teams
  • Slack
  • Microsoft Entra ID
  • Pertahanan Microsoft untuk Titik Akhir
  • Microsoft Defender for Cloud Apps

Misalnya, jika Anda menggunakan sistem tiket ServiceNow, gunakan Azure Logic Apps untuk mengotomatiskan alur kerja Anda dan membuka tiket di ServiceNow setiap kali peringatan atau insiden tertentu dibuat.

Screenshot of example automated workflow in Azure Logic Apps where an incident can trigger different actions.

Playbook ditujukan untuk insinyur dan analis SOC dari semua tingkatan, untuk mengotomatisasi dan menyederhanakan tugas, termasuk konsumsi data, pengayaan, penyelidikan, dan remediasi.

Playbook bekerja paling baik dengan tugas tunggal yang berulang, dan tidak memerlukan ilmu pengkodean. Playbook tidak cocok untuk ad-hoc atau rantai tugas kompleks, atau untuk mendokumentasikan dan berbagi bukti.

Menyelidiki cakupan dan akar penyebab ancaman keamanan

Alat investigasi mendalam Microsoft Sentinel membantu Anda memahami cakupan dan menemukan akar penyebab potensi ancaman keamanan. Anda dapat memilih entitas pada grafik interaktif untuk mengajukan pertanyaan menarik bagi entitas tertentu, dan menelusuri ke entitas tersebut dan koneksinya untuk sampai ke akar penyebab ancaman.

Screenshot of an incident investigation that shows an entity and connected entities in an interactive graph.

Memburu ancaman keamanan dengan menggunakan kueri bawaan

Gunakan alat pencarian dan kueri perburuan canggih Microsoft Sentinel, berdasarkan kerangka kerja MITRE, yang memungkinkan Anda untuk secara proaktif berburu ancaman keamanan di seluruh sumber data organisasi Anda, sebelum peringatan dipicu. Buat aturan deteksi kustom berdasarkan kueri berburu Anda. Lalu, munculkan wawasan tersebut sebagai pemberitahuan kepada responden insiden keamanan Anda.

Saat berburu, buat marka buku untuk kembali ke peristiwa menarik nanti. Gunakan marka buku untuk berbagi peristiwa dengan orang lain. Atau kelompokkan peristiwa dengan peristiwa lain yang berkorelasi untuk membuat insiden yang menarik untuk penyelidikan.

Screenshot of the hunting page in Microsoft Sentinel that shows a list of available queries.

Meningkatkan pemburuan ancaman Anda dengan notebook

Microsoft Sentinel mendukung Jupyter notebook di ruang kerja Azure Machine Learning, termasuk perpustakaan lengkap untuk pembelajaran mesin, visualisasi, dan analisis data.

Gunakan notebook di Microsoft Sentinel untuk memperluas cakupan apa yang dapat Anda lakukan dengan data Microsoft Azure Sentinel. Contohnya:

  • Lakukan analitik yang tidak ada di dalam Microsoft Sentinel, seperti beberapa fitur pembelajaran mesin Python.
  • Buat visualisasi data yang bukan bawaan Microsoft Sentinel, seperti garis waktu kustom dan pohon proses.
  • Mengintegrasikan sumber data di luar Microsoft Sentinel, seperti himpunan data lokal.

Screenshot of a Sentinel notebook in an Azure Machine Learning workspace.

Notebook ditujukan untuk pemburu ancaman atau analis Tier 2-3, penyelidik insiden, ilmuwan data, dan peneliti keamanan. Notebook membutuhkan kurva belajar yang lebih tinggi dan pengetahuan pengkodean. Notebook memiliki dukungan otomatisasi terbatas.

Notebook di Microsoft Sentinel menyediakan:

  • Kueri ke Microsoft Sentinel dan data eksternal
  • Fitur untuk pengayaan data, investigasi, visualisasi, berburu, pembelajaran mesin, dan analitik data besar

Notebook adalah yang terbaik untuk:

  • Rantai tugas berulang yang lebih kompleks
  • Kontrol prosedural ad-hoc
  • Pembelajaran mesin dan analisis kustom

Notebook mendukung pustaka Python yang kaya untuk memanipulasi dan memvisualisasikan data. Nptebook berguna untuk mendokumentasikan dan berbagi bukti analisis.

Mengunduh konten keamanan dari komunitas

Komunitas Microsoft Sentinel adalah sumber daya yang kuat untuk deteksi dan automasi ancaman. Analis keamanan Microsoft kami terus membuat dan menambahkan buku kerja baru, playbook, kueri berburu, dan lainnya. Mereka memposting item konten ini ke komunitas untuk digunakan di lingkungan Anda. Unduh konten sampel dari repositori GitHub komunitas pribadi untuk membuat buku kerja khusus, kueri berburu, buku catatan, dan playbook untuk Microsoft Sentinel.

Screenshot of the GitHub repository for Microsoft Sentinel with downloadable content like hunting queries, parsers, and playbooks.

Langkah berikutnya