Bekerja dengan indikator ancaman di Microsoft Azure Sentinel

• Berlaku untuk:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Anda dapat mengintegrasikan inteligensi ancaman (TI) ke Microsoft Sentinel melalui aktivitas berikut:

• Impor inteligensi ancaman ke Microsoft Sentinel dengan mengaktifkan konektor data ke berbagai platform dan umpan TI.

• Tampilkan dan kelola inteligensi ancaman yang diimpor di Log dan di halaman Inteligensi Ancaman Microsoft Azure Sentinel.

• Deteksi ancaman dan hasilkan pemberitahuan dan insiden keamanan menggunakan template aturan Analitik bawaan berdasarkan inteligensi ancaman impor Anda.

• Gambarkan informasi utama tentang inteligensi ancaman impor Anda di Microsoft Sentinel dengan buku kerja Inteligensi Ancaman.

Penting

Microsoft Azure Sentinel tersedia sebagai bagian dari pratinjau publik untuk platform operasi keamanan terpadu di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Melihat indikator ancaman Anda di Microsoft Azure Sentinel

Cari dan tampilkan indikator Anda di halaman Inteligensi ancaman

Prosedur ini menjelaskan cara menampilkan dan mengelola indikator Anda di halaman Inteligensi ancaman, yang dapat diakses dari menu utama Microsoft Azure Sentinel. Gunakan halaman Inteligensi ancaman untuk mengurutkan, memfilter, dan menelusuri indikator ancaman impor tanpa menulis kueri Analitik Log.

Untuk menampilkan indikator inteligensi ancaman Anda di halaman Inteligensi ancaman:

1. Untuk Microsoft Azure Sentinel di portal Azure, di bawah Manajemen ancaman, pilih Inteligensi ancaman.
   Untuk Microsoft Azure Sentinel di portal Defender, pilih Inteligensi Ancaman manajemen>Ancaman Microsoft Sentinel.>

2. Dari kisi, pilih indikator yang ingin Anda tampilkan detail selengkapnya. Detail indikator muncul di sebelah kanan, menunjukkan informasi seperti tingkat kepercayaan, tag, jenis ancaman, dan banyak lagi.

3. Microsoft Sentinel hanya menampilkan versi indikator terbaru dalam tampilan ini. Untuk informasi selengkapnya tentang bagaimana indikator diperbarui, lihat Memahami inteligensi ancaman.

4. Indikator IP dan nama domain diperkaya dengan data GeoLocation dan Siapa Is tambahan, memberikan lebih banyak konteks untuk penyelidikan di mana indikator yang dipilih ditemukan.

Contohnya:

Portal Azure

Portal pertahanan

Penting

Pengayaan GeoLocation dan WhoIs saat ini sedang dalam PRATINJAU. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Cari dan lihat indikator Anda di Log

Prosedur ini menjelaskan cara menampilkan indikator ancaman impor Anda di area Log Microsoft Azure Sentinel bersama dengan data peristiwa Microsoft Azure Sentinel lainnya, terlepas dari umpan sumber atau konektor yang digunakan.

Indikator ancaman yang diimpor tercantum dalam tabel ThreatIntelligenceIndicator Microsoft Sentinel>, yang merupakan dasar untuk kueri inteligensi ancaman yang berjalan di tempat lain di Microsoft Azure Sentinel, seperti di Analitik atau Buku Kerja.

Untuk menampilkan indikator inteligensi ancaman Anda di Log:

1. Untuk Microsoft Azure Sentinel di portal Azure, di bawah Umum, pilih Log.
   Untuk Microsoft Azure Sentinel di portal Defender, pilih Investigasi & respons>Berburu Lanjutan>.

2. Tabel ThreatIntelligenceIndicator terletak di bawah grup Microsoft Azure Sentinel.

3. Pilih ikon Pratinjau data (mata) di samping nama tabel dan pilih tombol Tampilkan di editor kueri untuk menjalankan kueri yang akan memperlihatkan rekaman dari tabel ini.

   Hasil Anda akan terlihat mirip dengan indikator ancaman sampel yang ditunjukkan dalam cuplikan layar ini:

   

Indikator buat dan tag

Halaman Inteligensi ancaman juga memungkinkan Anda untuk membuat indikator ancaman secara langsung dalam antarmuka Microsoft Azure Sentinel, serta melakukan dua tugas administratif inteligensi ancaman yang paling umum: pembuatan tag indikator dan pembuatan indikator baru yang terkait dengan penyelidikan keamanan.

Buat indikator baru

1. Untuk Microsoft Azure Sentinel di portal Azure, di bawah Manajemen ancaman, pilih Inteligensi ancaman.
   Untuk Microsoft Azure Sentinel di portal Defender, pilih Inteligensi Ancaman manajemen>Ancaman Microsoft Sentinel.>

2. Pilih tombol Tambahkan baru dari bar menu di atas halaman.

   

3. Pilih jenis indikator, lalu isi formulir pada panel Indikator baru. Bidang yang diperlukan ditandai dengan tanda bintang (*) merah.

4. Pilih Terapkan. Indikator ditambahkan ke daftar Indikator, serta dikirim ke tabel ThreatIntelligenceIndicator di Log.

Menandai dan mengedit indikator ancaman

Menandai indikator ancaman adalah cara mudah untuk mengelompokkannya bersama-sama untuk membuatnya lebih mudah ditemukan. Umumnya, Anda dapat menerapkan tag ke indikator yang terkait dengan insiden tertentu, atau yang mewakili ancaman dari pelaku tertentu atau kampanye serangan yang dikenal. Beri tag indikator ancaman satu per satu, atau indikator multi-pilih dan tandai semuanya sekaligus. Ditunjukkan di bawah ini adalah contoh penandaan beberapa indikator dengan ID insiden. Karena penandaan adalah bentuk bebas, praktik yang direkomendasikan adalah membuat konvensi penamaan standar untuk tag indikator ancaman. Indikator memungkinkan penerapan beberapa tag.

Microsoft Sentinel juga memungkinkan Anda mengedit indikator, baik telah dibuat langsung di Microsoft Sentinel, atau berasal dari sumber mitra, seperti server TIP dan TAXII. Untuk indikator yang dibuat di Microsoft Sentinel, semua bidang dapat diedit. Untuk indikator yang berasal dari sumber mitra, hanya bidang tertentu yang dapat diedit, termasuk tag, Tanggal kedaluwarsa, Keyakinan, dan Dicabut. Bagaimanapun, perlu diingat hanya versi terbaru indikator yang ditampilkan dalam tampilan halaman Inteligensi Ancaman. Untuk informasi selengkapnya tentang bagaimana indikator diperbarui, lihat Memahami inteligensi ancaman.

Buku kerja menyediakan wawasan tentang inteligensi ancaman Anda

Gunakan buku kerja Microsoft Sentinel yang dibuat khusus untuk memvisualisasikan informasi utama tentang inteligensi ancaman Anda di Microsoft Azure Sentinel, dan kustomisasi buku kerja sesuai dengan kebutuhan bisnis Anda.

Berikut ini cara mencari buku kerja inteligensi ancaman yang disediakan di Microsoft Azure Sentinel, dan contoh cara mengedit buku kerja untuk menyesuaikannya.

1. Dari portal Microsoft Azure, buka layanan Microsoft Sentinel.

2. Pilih ruang kerja tempat Anda mengimpor indikator ancaman menggunakan konektor data inteligensi ancaman.

3. Pilih Buku Kerja dari bagian Manajemen ancaman pada menu Microsoft Azure Sentinel.

4. Cari buku kerja berjudul Inteligensi Ancaman dan verifikasi bahwa Anda memiliki data dalam tabel ThreatIntelligenceIndicator seperti yang ditampilkan di bawah.

   

5. Pilih tombol Simpan dan pilih lokasi Azure untuk menyimpan buku kerja. Langkah ini diperlukan jika Anda akan memodifikasi buku kerja dengan cara apa pun dan menyimpan perubahan Anda.

6. Sekarang pilih tombol Tampilkan buku kerja yang disimpan untuk membuka buku kerja untuk menampilkan dan mengedit.

7. Sekarang Anda akan melihat bagan default yang disediakan oleh templat. Untuk mengubah bagan, pilih tombol Edit di bagian atas halaman untuk memasukkan mode pengeditan buku kerja.

8. Tambahkan bagan indikator ancaman baru berdasarkan jenis ancaman. Gulir ke bagian bawah halaman dan pilih Tambahkan Kueri.

9. Tambahkan teks berikut ke kotak teks Log Kueri ruang kerja Log Analytics:

   ThreatIntelligenceIndicator
   | summarize count() by ThreatType
   

10. Di menu drop-down turun bawah Visualisasi pilih Bagan batang.

11. Pilih tombol Selesai mengedit. Anda telah membuat bagan baru untuk buku kerja Anda.

    

Buku kerja menyediakan dasbor interaktif canggih yang memberi Anda wawasan tentang semua aspek Microsoft Azure Sentinel. Ada banyak hal yang dapat Anda lakukan dengan buku kerja, dan sementara templat yang disediakan adalah titik awal yang bagus, Anda mungkin ingin menyelam dan mengkustomisasi templat ini, atau membuat dasbor baru yang menggabungkan banyak sumber data yang berbeda sehingga untuk memvisualisasikan data Anda dengan cara yang unik. Karena buku kerja Microsoft Azure didasarkan pada buku kerja Azure Monitor, sudah ada dokumentasi ekstensif yang tersedia, dan banyak templat lainnya. Tempat yang bagus untuk memulai adalah artikel ini tentang cara Membuat laporan interaktif dengan buku kerja Azure Monitor.

Ada juga komunitas buku kerja Azure Monitor yang kaya di GitHub untuk mengunduh lebih banyak templat dan berkontribusi templat Anda sendiri.

Konten terkait

Dalam artikel ini, Anda mempelajari semua cara untuk bekerja dengan indikator inteligensi ancaman di seluruh Microsoft Azure Sentinel. Untuk informasi selengkapnya tentang inteligensi ancaman di Microsoft Azure Sentinel, lihat artikel berikut:

• Memahami inteligensi ancaman di Microsoft Azure Sentinel.
• Sambungkan Microsoft Sentinel ke umpan inteligensi ancaman STIX/TAXII.
• Lihat TIP, umpan TAXII, dan pengayaan mana yang dapat dengan mudah diintegrasikan dengan Microsoft Azure Sentinel.