Apa itu Microsoft Sentinel?

Microsoft Sentinel adalah solusi asli cloud skalabel yang menyediakan:

  • Informasi keamanan dan manajemen acara (SIEM)
  • Orkestrasi keamanan, otomatisasi, dan respons (SOAR)

Microsoft Sentinel memberikan analisis keamanan cerdas dan intelijensi ancaman di seluruh perusahaan. Dengan Microsoft Sentinel, Anda mendapatkan satu solusi untuk deteksi serangan, visibilitas ancaman, perburuan proaktif, dan respons ancaman.

Microsoft Sentinel adalah pandangan mata burung Anda di seluruh perusahaan yang mengurangi stres atas serangan yang semakin canggih, meningkatkan volume pemberitahuan, dan jangka waktu resolusi panjang.

  • Kumpulkan data dalam skala cloud di semua pengguna, perangkat, aplikasi, dan infrastruktur, baik lokal maupun di banyak cloud.

  • Deteksi ancaman yang sebelumnya tidak terdeteksi, dan minimalkan positif palsu menggunakan analitik Microsoft dan inteligensi ancaman yang tak tertandingi.

  • Selidiki ancaman dengan kecerdasan buatan, dan buru aktivitas mencurigakan secara berskala, memanfaatkan pekerjaan keamanan siber bertahun-tahun di Microsoft.

  • Tanggapi insiden dengan cepat dengan orkestrasi bawaan dan automasi tugas umum.

Microsoft Sentinel secara asli menggabungkan layanan Azure yang telah terbukti, seperti Log Analytics, dan Logic Apps. Microsoft Sentinel memperkaya penyelidikan dan deteksi Anda dengan AI. Ini menyediakan aliran inteligensi ancaman Microsoft dan memungkinkan Anda membawa inteligensi ancaman Anda sendiri.

Catatan

Layanan ini mendukung Azure Lighthouse, yang memungkinkan penyedia layanan masuk ke penyewa mereka sendiri untuk mengelola langganan dan grup sumber daya yang telah didelegasikan pelanggan.

Mengumpulkan data dengan menggunakan konektor data

Untuk mengaktifkan Microsoft Sentinel, Anda harus terhubung ke sumber data Anda.

Microsoft Sentinel hadir dengan banyak konektor untuk solusi Microsoft, tersedia langsung dan menyediakan integrasi real time. Beberapa konektor ini meliputi:

  • Sumber Microsoft seperti Microsoft 365 Defender, Microsoft Defender untuk Cloud, Office 365, Microsoft Defender for IoT, dan banyak lagi.
  • Sumber layanan Azure seperti Azure Active Directory, Azure Activity, Azure Storage, Azure Key Vault, Azure Kubernetes Service, dan banyak lagi.

Microsoft Sentinel memiliki konektor bawaan ke ekosistem keamanan dan aplikasi yang lebih luas untuk solusi non-Microsoft. Anda juga dapat menggunakan format peristiwa umum, Syslog, atau REST-API untuk menghubungkan sumber data Anda dengan Microsoft Sentinel juga.

Untuk informasi selengkapnya, lihat Temukan konektor data Anda.

Cuplikan layar halaman konektor data di Microsoft Sentinel yang memperlihatkan daftar konektor yang tersedia.

Buat laporan interaktif dengan buku kerja

Setelah Anda masuk ke Microsoft Sentinel, pantau data Anda dengan menggunakan integrasi dengan buku kerja Azure Monitor.

Buku kerja ditampilkan secara berbeda di Microsoft Sentinel daripada di Azure Monitor. Mungkin berguna bagi Anda untuk melihat cara membuat buku kerja di Azure Monitor. Melalui integrasi ini, Microsoft Sentinel memungkinkan Anda untuk membuat buku kerja kustom di seluruh data Anda. Microsoft Sentinel juga dilengkapi dengan templat buku kerja bawaan untuk memungkinkan Anda memperoleh wawasan dengan cepat di seluruh data segera setelah Anda tersambung ke sumber data.

Cuplikan layar halaman buku kerja di Microsoft Sentinel dengan daftar buku kerja yang tersedia.

Buku kerja ditujukan untuk insinyur SOC dan analis dari semua tingkatan untuk memvisualisasikan data.

Buku kerja paling baik digunakan untuk tampilan data Microsoft Sentinel tingkat tinggi, dan tidak memerlukan pengetahuan pengkodean. Namun, Anda tidak dapat mengintegrasikan buku kerja dengan data eksternal.

Menghubungkan pemberitahuan ke insiden dengan menggunakan aturan analitik

Untuk membantu Anda mengurangi kebisingan dan meminimalkan jumlah peringatan yang harus Anda tinjau dan selidiki, Microsoft Sentinel menggunakan analitik untuk mengkorelasi peringatan menjadi insiden. Insiden adalah grup pemberitahuan terkait yang bersama-sama menciptakan kemungkinan ancaman yang dapat Anda selidiki dan atasi. Gunakan aturan korelasi bawaan apa adanya, atau gunakan sebagai titik awal untuk membangun aturan Anda sendiri. Microsoft Sentinel juga menyediakan aturan pembelajaran mesin untuk memetakan perilaku jaringan Anda lalu mencari anomali di seluruh sumber daya Anda. Analitik ini menghubungkan titik-titik, dengan menggabungkan peringatan keakuratan rendah tentang entitas yang berbeda ke dalam potensi insiden keamanan dengan fidelitas tinggi.

Cuplikan layar halaman insiden di Microsoft Sentinel dengan daftar insiden terbuka.

Mengotomatiskan dan mengatur tugas umum dengan menggunakan playbook

Otomatiskan tugas umum Anda dan sederhanakan orkestrasi keamanan dengan playbook yang terintegrasi dengan layanan Azure serta alat Anda yang sudah ada.

Solusi otomatisasi dan orkestrasi Microsoft Sentinel menyediakan arsitektur yang sangat dapat diperluas yang memungkinkan otomatisasi terukur saat teknologi dan ancaman baru muncul. Untuk membuat playbook dengan Azure Logic Apps, Anda dapat memilih dari galeri playbook bawaan yang terus berkembang. Ini termasuk 200+ konektor untuk layanan seperti Azure Functions. Konektor memungkinkan Anda menerapkan logika kustom dalam kode seperti:

  • ServiceNow
  • Jira
  • Zendesk
  • Permintaan HTTP
  • Microsoft Teams
  • Slack
  • Windows Defender ATP
  • Aplikasi Defender for Cloud

Misalnya, jika Anda menggunakan sistem tiket ServiceNow, gunakan Azure Logic Apps untuk mengotomatiskan alur kerja Anda dan membuka tiket di ServiceNow setiap kali peringatan atau insiden tertentu dibuat.

Cuplikan layar contoh alur kerja otomatis di Azure Logic Apps tempat insiden dapat memicu tindakan yang berbeda.

Playbook ditujukan untuk insinyur dan analis SOC dari semua tingkatan, untuk mengotomatisasi dan menyederhanakan tugas, termasuk konsumsi data, pengayaan, penyelidikan, dan remediasi.

Playbook bekerja paling baik dengan tugas tunggal yang berulang, dan tidak memerlukan ilmu pengkodean. Playbook tidak cocok untuk ad-hoc atau rantai tugas kompleks, atau untuk mendokumentasikan dan berbagi bukti.

Menyelidiki cakupan dan akar penyebab ancaman keamanan

Alat investigasi mendalam Microsoft Sentinel membantu Anda memahami cakupan dan menemukan akar penyebab potensi ancaman keamanan. Anda dapat memilih entitas pada grafik interaktif untuk mengajukan pertanyaan menarik bagi entitas tertentu, dan menelusuri ke entitas tersebut dan koneksinya untuk sampai ke akar penyebab ancaman.

Cuplikan layar investigasi insiden yang menunjukkan entitas dan entitas yang terhubung dalam grafik interaktif.

Memburu ancaman keamanan dengan menggunakan kueri bawaan

Gunakan alat pencarian dan kueri perburuan canggih Microsoft Sentinel, berdasarkan kerangka kerja MITRE, yang memungkinkan Anda untuk secara proaktif berburu ancaman keamanan di seluruh sumber data organisasi Anda, sebelum peringatan dipicu. Buat aturan deteksi kustom berdasarkan kueri berburu Anda. Lalu, munculkan wawasan tersebut sebagai pemberitahuan kepada responden insiden keamanan Anda.

Saat berburu, buat marka buku untuk kembali ke peristiwa menarik nanti. Gunakan marka buku untuk berbagi peristiwa dengan orang lain. Atau kelompokkan peristiwa dengan peristiwa lain yang berkorelasi untuk membuat insiden yang menarik untuk penyelidikan.

Cuplikan layar halaman berburu di Microsoft Sentinel yang memperlihatkan daftar kueri yang tersedia.

Meningkatkan pemburuan ancaman Anda dengan notebook

Microsoft Sentinel mendukung Jupyter notebook di ruang kerja Azure Machine Learning, termasuk perpustakaan lengkap untuk pembelajaran mesin, visualisasi, dan analisis data.

Gunakan notebook di Microsoft Sentinel untuk memperluas cakupan apa yang dapat Anda lakukan dengan data Microsoft Azure Sentinel. Contohnya:

  • Lakukan analitik yang tidak ada di dalam Microsoft Sentinel, seperti beberapa fitur pembelajaran mesin Python.
  • Buat visualisasi data yang bukan bawaan Microsoft Sentinel, seperti garis waktu kustom dan pohon proses.
  • Mengintegrasikan sumber data di luar Microsoft Sentinel, seperti himpunan data lokal.

Cuplikan layar notebook Sentinel di ruang kerja Azure Machine Learning.

Notebook ditujukan untuk pemburu ancaman atau analis Tier 2-3, penyelidik insiden, ilmuwan data, dan peneliti keamanan. Notebook membutuhkan kurva belajar yang lebih tinggi dan pengetahuan pengkodean. Notebook memiliki dukungan otomatisasi terbatas.

Notebook di Microsoft Sentinel menyediakan:

  • Kueri ke Microsoft Sentinel dan data eksternal
  • Fitur untuk pengayaan data, investigasi, visualisasi, berburu, pembelajaran mesin, dan analitik data besar

Notebook adalah yang terbaik untuk:

  • Rantai tugas berulang yang lebih kompleks
  • Kontrol prosedural ad-hoc
  • Pembelajaran mesin dan analisis kustom

Notebook mendukung pustaka Python yang kaya untuk memanipulasi dan memvisualisasikan data. Nptebook berguna untuk mendokumentasikan dan berbagi bukti analisis.

Mengunduh konten keamanan dari komunitas

Komunitas Microsoft Sentinel adalah sumber daya yang kuat untuk deteksi dan automasi ancaman. Analis keamanan Microsoft kami terus membuat dan menambahkan buku kerja baru, playbook, kueri berburu, dan lainnya. Mereka memposting item konten ini ke komunitas untuk digunakan di lingkungan Anda. Unduh konten sampel dari repositori GitHub komunitas pribadi untuk membuat buku kerja khusus, kueri berburu, buku catatan, dan playbook untuk Microsoft Sentinel.

Cuplikan layar repositori GitHub untuk Microsoft Sentinel dengan konten yang dapat diunduh seperti kueri berburu, parser, dan playbook.

Langkah berikutnya