Menanggapi pelaku ancaman saat menyelidiki atau berburu ancaman di Microsoft Azure Sentinel

  • Artikel

Artikel ini menunjukkan kepada Anda cara mengambil tindakan respons terhadap pelaku ancaman di tempat, selama penyelidikan insiden atau perburuan ancaman, tanpa melakukan pivot atau konteks yang beralih dari penyelidikan atau perburuan. Anda menyelesaikan ini menggunakan playbook berdasarkan pemicu entitas baru.

Pemicu entitas saat ini mendukung jenis entitas berikut:

Penting

Pemicuentitas saat ini dalam PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk ketentuan hukum tambahan yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Menjalankan playbook dengan pemicu entitas

Saat Menyelidiki insiden, dan Anda menentukan bahwa entitas tertentu - akun pengguna, host, alamat IP, file, dan sebagainya - mewakili ancaman, Anda dapat segera mengambil tindakan remediasi pada ancaman tersebut dengan menjalankan playbook sesuai permintaan. Anda juga dapat melakukannya jika Anda menemukan entitas yang mencurigakan saat secara proaktif berburu ancaman di luar konteks insiden.

  1. Pilih entitas dalam konteks apa pun yang Anda temui, dan pilih cara yang sesuai untuk menjalankan playbook, sebagai berikut:

    • Di widget Entitas pada tab Gambaran Umum insiden di halaman detail insiden baru (sekarang di Pratinjau), atau di tab Entitasnya, pilih entitas dari daftar, pilih tiga titik di samping entitas, dan pilih Jalankan playbook (Pratinjau) dari menu pop-up.

      Screenshot of incident details page.

      Screenshot of entities tab on incident details page.

    • Di tab Entitas dari insiden, pilih entitas dari daftar dan pilih tautan Jalankan playbook (Pratinjau) di akhir barisnya dalam daftar.

      Screenshot of selecting entity from incident details page to run a playbook on it.

    • Dari grafik Investigasi, pilih entitas dan pilih tombol Jalankan playbook (Pratinjau) di panel sisi entitas.

      Screenshot of selecting an entity from the investigation graph to run a playbook on it.

    • Dari halaman Perilaku entitas , pilih entitas. Dari halaman entitas yang dihasilkan, pilih tombol Jalankan playbook (Pratinjau) di panel sebelah kiri.

      Screenshot of selecting an entity from the entity behavior page to run a playbook on it.

      Screenshot of the selected entity page to run a playbook on an entity.

  2. Ini semua akan membuka run playbook pada< panel jenis> entitas.

    Screenshot of Run playbook on entity panel.

    Di salah satu panel ini, Anda akan melihat dua tab: Playbook dan Runs.

  3. Di tab Playbook, Anda akan melihat daftar semua playbook yang dapat Anda akses dan yang menggunakan pemicu Entitas Microsoft Azure Sentinel untuk jenis entitas tersebut (dalam hal ini, akun pengguna). Pilih tombol Jalankan untuk playbook yang ingin Anda jalankan segera.

    Catatan

    Jika Anda tidak melihat playbook yang ingin Anda jalankan dalam daftar, itu berarti Microsoft Sentinel tidak memiliki izin untuk menjalankan playbook di grup sumber daya tersebut (pelajari lebih lanjut). Untuk memberikan izin tersebut, pilih Pengaturan dari menu utama, pilih tab Pengaturan, perluas expander izin Playbook, dan pilih Konfigurasikan izin. Di panel Kelola izin yang terbuka, tandai kotak centang grup sumber daya yang berisi playbook yang ingin Anda jalankan, dan pilih Terapkan.

  4. Anda dapat mengaudit aktivitas playbook pemicu entitas Anda di tab Jalankan . Anda akan melihat daftar setiap kali playbook dijalankan pada entitas yang Anda pilih. Mungkin perlu waktu beberapa detik agar proses yang baru saja selesai muncul dalam daftar ini. Memilih eksekusi tertentu akan membuka log eksekusi penuh di Azure Logic Apps.

Langkah berikutnya

Dalam artikel ini, Anda mempelajari cara menjalankan playbook secara manual untuk memulihkan ancaman dari entitas saat sedang menyelidiki insiden atau berburu ancaman.