Rekomendasi untuk pemantauan dan deteksi ancaman

  • Artikel

Berlaku untuk rekomendasi daftar periksa Azure Well-Architected Framework Security ini:

SE:10 Terapkan strategi pemantauan holistik yang bergantung pada mekanisme deteksi ancaman modern yang dapat diintegrasikan dengan platform. Mekanisme harus dengan andal memperingatkan triase dan mengirim sinyal ke proses SecOps yang ada.

Panduan ini menjelaskan rekomendasi untuk pemantauan dan deteksi ancaman. Pemantauan pada dasarnya adalah proses mendapatkan informasi tentang peristiwa yang telah terjadi. Pemantauan keamanan adalah praktik menangkap informasi pada ketinggian beban kerja yang berbeda (infrastruktur, aplikasi, operasi) untuk mendapatkan kesadaran akan aktivitas yang mencurigakan. Tujuannya adalah untuk memprediksi insiden dan belajar dari peristiwa sebelumnya. Data pemantauan memberikan dasar analisis pasca-insiden tentang apa yang terjadi untuk membantu respons insiden dan penyelidikan forensik.

Pemantauan adalah pendekatan Keunggulan Operasional yang diterapkan di semua pilar Well-Architected Framework. Panduan ini memberikan rekomendasi hanya dari perspektif keamanan. Konsep umum pemantauan, seperti instrumentasi kode, pengumpulan data, dan analisis, berada di luar cakupan untuk panduan ini. Untuk informasi tentang konsep pemantauan inti, lihat Rekomendasi untuk merancang dan membangun kerangka kerja pengamatan.

Definisi

Istilah Definisi
Log audit Catatan aktivitas dalam sistem.
Informasi keamanan dan manajemen acara (SIEM) Pendekatan yang menggunakan kemampuan deteksi ancaman dan kecerdasan bawaan berdasarkan data yang dikumpulkan dari berbagai sumber.
Deteksi ancaman Strategi untuk mendeteksi penyimpangan dari tindakan yang diharapkan dengan menggunakan data yang dikumpulkan, dianalisis, dan berkorelasi.
Inteligensi ancaman Strategi untuk menafsirkan data deteksi ancaman untuk mendeteksi aktivitas atau ancaman yang mencurigakan dengan memeriksa pola.
Pencegahan ancaman Kontrol keamanan yang ditempatkan dalam beban kerja di berbagai ketinggian untuk melindungi asetnya.

Strategi desain utama

Tujuan utama pemantauan keamanan adalah deteksi ancaman. Tujuan utamanya adalah untuk mencegah potensi pelanggaran keamanan dan menjaga lingkungan yang aman. Namun, sama pentingnya untuk mengenali bahwa tidak semua ancaman dapat diblokir terlebih dahulu. Dalam kasus seperti itu, pemantauan juga berfungsi sebagai mekanisme untuk mengidentifikasi penyebab insiden keamanan yang telah terjadi meskipun ada upaya pencegahan.

Pemantauan dapat didekati dari berbagai perspektif:

  • Pantau di berbagai ketinggian. Mengamati dari berbagai ketinggian adalah proses mendapatkan informasi tentang alur pengguna, akses data, identitas, jaringan, dan bahkan sistem operasi. Masing-masing area ini menawarkan wawasan unik yang dapat membantu Anda mengidentifikasi penyimpangan dari perilaku yang diharapkan yang ditetapkan terhadap garis besar keamanan. Sebaliknya, terus memantau sistem dan aplikasi dari waktu ke waktu dapat membantu menetapkan postur dasar tersebut. Misalnya, Anda biasanya dapat melihat sekitar 1.000 upaya masuk di sistem identitas Anda setiap jam. Jika pemantauan Anda mendeteksi lonjakan 50.000 upaya masuk selama waktu yang singkat, penyerang mungkin mencoba mendapatkan akses ke sistem Anda.

  • Pantau di berbagai cakupan dampak. Sangat penting untuk mengamati aplikasi dan platform. Asumsikan pengguna aplikasi secara tidak sengaja mendapatkan hak istimewa yang di eskalasi atau pelanggaran keamanan terjadi. Jika pengguna melakukan tindakan di luar cakupan yang ditentukan, dampaknya mungkin terbatas pada tindakan yang dapat dilakukan pengguna lain.

    Namun, jika entitas internal mengorbankan database, sejauh mana potensi kerusakan tidak pasti.

    Jika kompromi terjadi di sisi sumber daya Azure, dampaknya bisa global, memengaruhi semua entitas yang berinteraksi dengan sumber daya.

    Radius ledakan atau cakupan dampak bisa sangat berbeda, tergantung pada skenario mana yang terjadi.

  • Gunakan alat pemantauan khusus. Sangat penting untuk berinvestasi dalam alat khusus yang dapat terus memindai perilaku anomali yang mungkin menunjukkan serangan. Sebagian besar alat ini memiliki kemampuan inteligensi ancaman yang dapat melakukan analisis prediktif berdasarkan sejumlah besar data dan ancaman yang diketahui. Sebagian besar alat tidak stateless dan menggabungkan pemahaman mendalam tentang telemetri dalam konteks keamanan.

    Alat-alat ini harus terintegrasi platform atau setidaknya sadar platform untuk mendapatkan sinyal mendalam dari platform dan membuat prediksi dengan keakuratan tinggi. Mereka harus dapat menghasilkan pemberitahuan secara tepat waktu dengan informasi yang cukup untuk melakukan triase yang tepat. Menggunakan terlalu banyak alat yang beragam dapat menyebabkan kompleksitas.

  • Gunakan pemantauan untuk respons insiden. Data agregat, diubah menjadi kecerdasan yang dapat ditindaklanjuti, memungkinkan reaksi cepat dan efektif terhadap insiden. Pemantauan membantu aktivitas pasca-insiden. Tujuannya adalah untuk mengumpulkan data yang cukup untuk menganalisis dan memahami apa yang terjadi. Proses pemantauan menangkap informasi tentang peristiwa sebelumnya untuk meningkatkan kemampuan reaktif dan berpotensi memprediksi insiden di masa mendatang.

Bagian berikut ini menyediakan praktik yang direkomendasikan yang menggabungkan perspektif pemantauan sebelumnya.

Mengambil data untuk menyimpan jejak aktivitas

Tujuannya adalah untuk mempertahankan jejak audit komprehensif peristiwa yang signifikan dari perspektif keamanan. Pengelogan adalah cara paling umum untuk mengambil pola akses. Pengelogan harus dilakukan untuk aplikasi dan platform.

Untuk jejak audit, Anda perlu menetapkan apa, kapan, dan siapa yang terkait dengan tindakan. Anda perlu mengidentifikasi jangka waktu tertentu saat tindakan dilakukan. Buat penilaian ini dalam pemodelan ancaman Anda. Untuk menangkal ancaman penolakan, Anda harus membangun sistem pengelogan dan audit yang kuat yang menghasilkan catatan aktivitas dan transaksi.

Bagian berikut menjelaskan kasus penggunaan untuk beberapa ketinggian umum beban kerja.

Alur pengguna aplikasi

Aplikasi Anda harus dirancang untuk memberikan visibilitas runtime ketika peristiwa terjadi. Identifikasi poin penting dalam aplikasi Anda dan buat pengelogan untuk titik-titik ini. Misalnya, saat pengguna masuk ke aplikasi, ambil identitas pengguna, lokasi sumber, dan informasi relevan lainnya. Penting untuk mengakui eskalasi apa pun dalam hak istimewa pengguna, tindakan yang dilakukan oleh pengguna, dan apakah pengguna mengakses informasi sensitif di penyimpanan data yang aman. Lacak aktivitas untuk pengguna dan sesi pengguna.

Untuk memfasilitasi pelacakan ini, kode harus diinstrumentasikan melalui pengelogan terstruktur. Melakukannya memungkinkan kueri dan pemfilteran log yang mudah dan seragam.

Penting

Anda perlu memberlakukan pengelogan yang bertanggung jawab untuk menjaga kerahasiaan dan integritas sistem Anda. Rahasia dan data sensitif tidak boleh muncul di log. Waspadai kebocoran data pribadi dan persyaratan kepatuhan lainnya saat Anda mengambil data log ini.

Pemantauan identitas dan akses

Pertahankan catatan menyeluruh pola akses untuk aplikasi dan modifikasi pada sumber daya platform. Memiliki log aktivitas yang kuat dan mekanisme deteksi ancaman, terutama untuk aktivitas terkait identitas, karena penyerang sering mencoba memanipulasi identitas untuk mendapatkan akses yang tidak sah.

Terapkan pengelogan komprehensif dengan menggunakan semua titik data yang tersedia. Misalnya, sertakan alamat IP klien untuk membedakan antara aktivitas pengguna reguler dan potensi ancaman dari lokasi yang tidak terduga. Semua peristiwa pengelogan harus diberi tanda waktu oleh server.

Rekam semua aktivitas akses sumber daya, menangkap siapa yang melakukan apa dan kapan mereka melakukannya. Instans eskalasi hak istimewa adalah titik data signifikan yang harus dicatat. Tindakan yang terkait dengan pembuatan atau penghapusan akun oleh aplikasi juga harus direkam. Rekomendasi ini meluas ke rahasia aplikasi. Pantau siapa yang mengakses rahasia dan kapan diputar.

Meskipun tindakan pencatatan berhasil penting, kegagalan perekaman diperlukan dari perspektif keamanan. Dokumentasikan setiap pelanggaran, seperti pengguna yang mencoba tindakan tetapi mengalami kegagalan otorisasi, upaya akses untuk sumber daya yang tidak ada, dan tindakan lain yang tampak mencurigakan.

Pemantauan jaringan

Dengan memantau paket jaringan dan sumber, tujuan, dan strukturnya, Anda mendapatkan visibilitas ke dalam pola akses di tingkat jaringan.

Desain segmentasi Anda harus memungkinkan titik pengamatan pada batas untuk memantau apa yang melintasinya dan mencatat data tersebut. Misalnya, pantau subnet yang memiliki grup keamanan jaringan yang menghasilkan log alur. Pantau juga log firewall yang menunjukkan alur yang diizinkan atau ditolak.

Ada log akses untuk permintaan koneksi masuk. Log ini merekam alamat IP sumber yang memulai permintaan, jenis permintaan (GET, POST), dan semua informasi lain yang merupakan bagian dari permintaan.

Menangkap alur DNS adalah persyaratan yang signifikan untuk banyak organisasi. Misalnya, log DNS dapat membantu mengidentifikasi pengguna atau perangkat mana yang memulai kueri DNS tertentu. Dengan menghubungkan aktivitas DNS dengan log autentikasi pengguna/perangkat, Anda dapat melacak aktivitas ke klien individual. Tanggung jawab ini sering meluas ke tim beban kerja, terutama jika mereka menyebarkan apa pun yang membuat permintaan DNS menjadi bagian dari operasi mereka. Analisis lalu lintas DNS adalah aspek utama dari pengamatan keamanan platform.

Penting untuk memantau permintaan DNS tak terduga atau permintaan DNS yang diarahkan ke titik akhir perintah dan kontrol yang diketahui.

Tradeoff: Mencatat semua aktivitas jaringan dapat menghasilkan sejumlah besar data. Setiap permintaan dari lapisan 3 dapat dicatat dalam log alur, termasuk setiap transaksi yang melewati batas subnet. Sayangnya, tidak mungkin untuk menangkap hanya peristiwa yang merugikan karena hanya dapat diidentifikasi setelah terjadi. Buat keputusan strategis tentang jenis peristiwa untuk ditangkap dan berapa lama untuk menyimpannya. Jika Anda tidak berhati-hati, mengelola data bisa sangat luar biasa. Ada juga tradeoff pada biaya penyimpanan data tersebut.

Karena tradeoff, Anda harus mempertimbangkan apakah manfaat pemantauan jaringan beban kerja Anda cukup untuk membenarkan biaya. Jika Anda memiliki solusi aplikasi web dengan volume permintaan tinggi dan sistem Anda memanfaatkan sumber daya Azure terkelola secara ekstensif, biayanya mungkin melebihi manfaatnya. Di sisi lain, jika Anda memiliki solusi yang dirancang untuk menggunakan komputer virtual dengan berbagai port dan aplikasi, mungkin penting untuk menangkap dan menganalisis log jaringan.

Mengambil perubahan sistem

Untuk menjaga integritas sistem Anda, Anda harus memiliki catatan status sistem yang akurat dan terbaru. Jika ada perubahan, Anda dapat menggunakan rekaman ini untuk segera mengatasi masalah apa pun yang muncul.

Proses build juga harus memancarkan telemetri. Memahami konteks keamanan peristiwa adalah kuncinya. Mengetahui apa yang memicu proses build, siapa yang memicunya, dan kapan dipicu dapat memberikan wawasan yang berharga.

Lacak kapan sumber daya dibuat dan saat dinonaktifkan. Informasi ini harus diekstrak dari platform. Informasi ini memberikan wawasan berharga untuk manajemen dan akuntabilitas sumber daya.

Pantau penyimpangan dalam konfigurasi sumber daya. Dokumentasikan perubahan apa pun ke sumber daya yang ada. Lacak juga perubahan yang tidak selesai sebagai bagian dari peluncuran ke armada sumber daya. Log harus mengambil spesifikasi perubahan dan waktu yang tepat terjadi.

Memiliki pandangan komprehensif, dari perspektif patching, tentang apakah sistem sudah diperbarui dan aman. Pantau proses pembaruan rutin untuk memverifikasi bahwa proses tersebut selesai seperti yang direncanakan. Proses patching keamanan yang tidak selesai harus dianggap sebagai kerentanan. Anda juga harus mempertahankan inventarsi yang merekam tingkat patch dan detail lain yang diperlukan.

Deteksi perubahan juga berlaku untuk sistem operasi. Ini melibatkan pelacakan apakah layanan ditambahkan atau dinonaktifkan. Ini juga termasuk pemantauan untuk penambahan pengguna baru ke sistem. Ada alat yang dirancang untuk menargetkan sistem operasi. Mereka membantu dengan pemantauan tanpa konteks dalam arti bahwa mereka tidak menargetkan fungsionalitas beban kerja. Misalnya, pemantauan integritas file adalah alat penting yang memungkinkan Anda melacak perubahan dalam file sistem.

Anda harus menyiapkan pemberitahuan untuk perubahan ini, terutama jika Anda tidak sering mengharapkannya terjadi.

Penting

Saat Anda meluncurkan ke produksi, pastikan bahwa pemberitahuan dikonfigurasi untuk menangkap aktivitas anomali yang terdeteksi pada sumber daya aplikasi dan proses build.

Dalam rencana pengujian Anda, sertakan validasi pengelogan dan pemberitahuan sebagai kasus pengujian yang diprioritaskan.

Menyimpan, mengagregasi, dan menganalisis data

Data yang dikumpulkan dari aktivitas pemantauan ini harus disimpan dalam sink data tempat data dapat diperiksa, dinormalisasi, dan berkorelasi secara menyeluruh. Data keamanan harus disimpan di luar penyimpanan data sistem sendiri. Sink pemantauan, baik yang dilokalkan atau terpusat, harus mengulurkan sumber data. Sink tidak dapat bersifat ephemeral karena sink adalah sumber untuk sistem deteksi intrusi.

Log jaringan dapat verbose dan mengambil penyimpanan. Jelajahi berbagai tingkatan dalam sistem penyimpanan. Log secara alami dapat beralih ke penyimpanan yang lebih dingin dari waktu ke waktu. Pendekatan ini bermanfaat karena log alur yang lebih lama biasanya tidak digunakan secara aktif dan hanya diperlukan sesuai permintaan. Metode ini memastikan manajemen penyimpanan yang efisien sekaligus memastikan bahwa Anda dapat mengakses data historis saat diperlukan.

Alur beban kerja Anda biasanya merupakan komposit dari beberapa sumber pengelogan. Data pemantauan harus dianalisis dengan cerdas di semua sumber tersebut. Misalnya, firewall Anda hanya akan memblokir lalu lintas yang mencapainya. Jika Anda memiliki grup keamanan jaringan yang telah memblokir lalu lintas tertentu, lalu lintas tersebut tidak terlihat oleh firewall. Untuk merekonstruksi urutan peristiwa, Anda perlu menggabungkan data dari semua komponen yang sedang mengalir lalu mengagregasi data dari semua alur. Data ini sangat berguna dalam skenario respons pasca-insiden saat Anda mencoba memahami apa yang terjadi. Penukaran waktu yang akurat sangat penting. Untuk tujuan keamanan, semua sistem perlu menggunakan sumber waktu jaringan sehingga selalu sinkron.

Deteksi ancaman terpusat dengan log berkorelasi

Anda dapat menggunakan sistem seperti informasi keamanan dan manajemen peristiwa (SIEM) untuk mengonsolidasikan data keamanan di lokasi pusat tempat data tersebut dapat berkorelasi di berbagai layanan. Sistem ini memiliki mekanisme deteksi ancaman bawaan . Mereka dapat terhubung ke umpan eksternal untuk mendapatkan data inteligensi ancaman. Microsoft, misalnya, menerbitkan data inteligensi ancaman yang dapat Anda gunakan. Anda juga dapat membeli umpan inteligensi ancaman dari penyedia lain, seperti Anomali dan FireEye. Umpan ini dapat memberikan wawasan yang berharga dan meningkatkan postur keamanan Anda. Untuk wawasan ancaman dari Microsoft, lihat Security Insider.

Sistem SIEM dapat menghasilkan pemberitahuan berdasarkan data yang berkorelasi dan dinormalisasi. Pemberitahuan ini adalah sumber daya yang signifikan selama proses respons insiden.

Tradeoff: Sistem SIEM bisa mahal, kompleks, dan membutuhkan keterampilan khusus. Namun, jika Anda tidak memilikinya, Anda mungkin perlu menghubungkan data sendiri. Ini bisa menjadi proses yang memakan waktu dan kompleks.

Sistem SIEM biasanya dikelola oleh tim pusat organisasi. Jika organisasi Anda tidak memilikinya, pertimbangkan untuk menganjurkannya. Ini dapat meringankan beban analisis log manual dan korelasi untuk memungkinkan manajemen keamanan yang lebih efisien dan efektif.

Beberapa opsi hemat biaya disediakan oleh Microsoft. Banyak produk Microsoft Defender menyediakan fungsionalitas peringatan sistem SIEM, tetapi tanpa fitur agregasi data.

Dengan menggabungkan beberapa alat yang lebih kecil, Anda dapat meniru beberapa fungsi sistem SIEM. Namun, Anda perlu tahu bahwa solusi perubahaan ini mungkin tidak dapat melakukan analisis korelasi. Alternatif ini dapat berguna, tetapi mungkin tidak sepenuhnya menggantikan fungsionalitas sistem SIEM khusus.

Mendeteksi penyalahgunaan

Jadilah proaktif tentang deteksi ancaman dan waspada terhadap tanda-tanda penyalahgunaan, seperti serangan brute force identitas pada komponen SSH atau titik akhir RDP. Meskipun ancaman eksternal mungkin menghasilkan banyak kebisingan, terutama jika aplikasi terpapar internet, ancaman internal sering kali menjadi perhatian yang lebih besar. Serangan brute force yang tidak terduga dari sumber jaringan tepercaya atau kesalahan konfigurasi yang tidak disengaja, misalnya, harus segera diselidiki.

Ikuti praktik pengerasan Anda. Pemantauan bukanlah pengganti pengerasan lingkungan Anda secara proaktif. Area permukaan yang lebih besar rentan terhadap lebih banyak serangan. Kencangkan kontrol sebanyak latihan. Mendeteksi dan menonaktifkan akun yang tidak digunakan, menghapus port yang tidak digunakan, dan menggunakan firewall aplikasi web, misalnya. Untuk informasi selengkapnya tentang teknik pengerasan, lihat Rekomendasi tentang pengerasan keamanan.

Deteksi berbasis tanda tangan dapat memeriksa sistem secara rinci. Ini melibatkan mencari tanda atau korelasi antara aktivitas yang mungkin menunjukkan potensi serangan. Mekanisme deteksi mungkin mengidentifikasi karakteristik tertentu yang menunjukkan jenis serangan tertentu. Mungkin tidak selalu mungkin untuk secara langsung mendeteksi mekanisme perintah dan kontrol serangan. Namun, sering ada petunjuk atau pola yang terkait dengan proses perintah dan kontrol tertentu. Misalnya, serangan mungkin ditunjukkan oleh laju aliran tertentu dari perspektif permintaan, atau mungkin sering mengakses domain yang memiliki akhiran tertentu.

Deteksi pola akses pengguna yang anomali sehingga Anda dapat mengidentifikasi dan menyelidiki penyimpangan dari pola yang diharapkan. Ini melibatkan perbandingan perilaku pengguna saat ini dengan perilaku sebelumnya untuk menemukan anomali. Meskipun mungkin tidak layak untuk melakukan tugas ini secara manual, Anda dapat menggunakan alat inteligensi ancaman untuk melakukannya. Berinvestasi dalam alat Analitik Perilaku Pengguna dan Entitas (UEBA) yang mengumpulkan perilaku pengguna dari memantau data dan menganalisisnya. Alat-alat ini sering dapat melakukan analisis prediktif yang memetakan perilaku mencurigakan ke jenis serangan potensial.

Mendeteksi ancaman selama tahap pra-penyebaran dan pasca-penyebaran. Selama fase pra-penyebaran, masukkan pemindaian kerentanan ke dalam alur dan ambil tindakan yang diperlukan berdasarkan hasilnya. Pasca-penyebaran, terus lakukan pemindaian kerentanan. Anda dapat menggunakan alat seperti Microsoft Defender untuk Kontainer, yang memindai gambar kontainer. Sertakan hasilnya dalam data yang dikumpulkan. Untuk informasi tentang praktik pengembangan yang aman, lihat Rekomendasi untuk menggunakan praktik penyebaran yang aman.

Manfaatkan mekanisme dan langkah-langkah deteksi yang disediakan platform. Misalnya, Azure Firewall dapat menganalisis lalu lintas dan memblokir koneksi ke tujuan yang tidak tepercaya. Azure juga menyediakan cara untuk mendeteksi dan melindungi dari serangan penolakan layanan terdistribusi (DDoS).

Fasilitasi Azure

Azure Monitor menyediakan observabilitas di seluruh lingkungan Anda. Tanpa konfigurasi, Anda secara otomatis mendapatkan metrik platform, log aktivitas, dan log diagnostik dari sebagian besar sumber daya Azure Anda. Log aktivitas memberikan informasi diagnostik dan audit terperinci.

Catatan

Log platform tidak tersedia tanpa batas waktu. Anda perlu menyimpannya sehingga Anda dapat meninjaunya nanti untuk tujuan audit atau analisis offline. Gunakan akun penyimpanan Azure untuk penyimpanan jangka panjang/arsip. Di Azure Monitor, tentukan periode retensi saat Anda mengaktifkan pengaturan diagnostik untuk sumber daya Anda.

Siapkan pemberitahuan berdasarkan metrik dan log yang telah ditentukan sebelumnya atau kustom untuk mendapatkan pemberitahuan saat peristiwa atau anomali terkait keamanan tertentu terdeteksi.

Untuk informasi selengkapnya, lihat dokumentasi Azure Monitor.

Microsoft Defender untuk Cloud menyediakan kemampuan bawaan untuk deteksi ancaman. Ini beroperasi pada data yang dikumpulkan dan menganalisis log. Karena mengetahui jenis log yang dihasilkan, ia dapat menggunakan aturan bawaan untuk membuat keputusan berdasarkan informasi. Misalnya, ini memeriksa daftar alamat IP yang berpotensi disusupi dan menghasilkan pemberitahuan.

Aktifkan layanan perlindungan ancaman bawaan untuk sumber daya Azure. Misalnya, aktifkan Microsoft Defender untuk sumber daya Azure, seperti komputer virtual, database, dan kontainer, untuk mendeteksi dan melindungi dari ancaman yang diketahui.

Defender for Cloud menyediakan kemampuan platform perlindungan beban kerja cloud (CWPP) untuk deteksi ancaman semua sumber daya beban kerja.

Untuk informasi selengkapnya, lihat Apa itu Microsoft Defender untuk Cloud?.

Pemberitahuan yang dihasilkan oleh Defender juga dapat masuk ke sistem SIEM. Microsoft Azure Sentinel adalah penawaran asli. Ini menggunakan AI dan pembelajaran mesin untuk mendeteksi dan merespons ancaman keamanan secara real time. Ini memberikan pandangan terpusat tentang data keamanan dan memfasilitasi perburuan dan penyelidikan ancaman proaktif.

Untuk informasi selengkapnya, lihat Apa yang dimaksud dengan Microsoft Sentinel?.

Microsoft Azure Sentinel juga dapat menggunakan umpan inteligensi ancaman dari berbagai sumber. Untuk informasi lebih lanjut, lihat Integrasi inteligensi ancaman di Microsoft Sentinel.

Microsoft Azure Sentinel dapat menganalisis perilaku pengguna dari data pemantauan. Untuk informasi selengkapnya, lihat Mengidentifikasi ancaman tingkat lanjut dengan Analitik Perilaku Pengguna dan Entitas (UEBA) di Microsoft Azure Sentinel.

Defender dan Microsoft Sentinel bekerja sama, meskipun beberapa tumpang tindih dalam fungsionalitas. Kolaborasi ini meningkatkan postur keamanan Anda secara keseluruhan dengan membantu memastikan deteksi dan respons ancaman yang komprehensif.

Manfaatkan Pusat Kelangsungan Bisnis Azure untuk mengidentifikasi kesenjangan dalam kawasan kelangsungan bisnis Anda dan melindungi dari ancaman seperti serangan ransomware, aktivitas berbahaya, dan insiden administrator nakal. Untuk informasi selengkapnya, lihat Apa itu Pusat Kelangsungan Bisnis Azure?.

Jaringan

Tinjau semua log, termasuk lalu lintas mentah, dari perangkat jaringan Anda.

Identitas

Pantau kejadian risiko terkait identitas pada identitas yang berpotensi disusupi dan perbaiki risiko tersebut. Tinjau kejadian risiko yang dilaporkan dengan cara ini:

Microsoft Entra ID menggunakan algoritma pembelajaran mesin adaptif, heuristik, dan kredensial yang disusupi yang diketahui (pasangan nama pengguna dan kata sandi) untuk mendeteksi tindakan mencurigakan yang terkait dengan akun pengguna Anda. Pasangan nama pengguna dan kata sandi ini muncul dengan memantau web publik dan gelap dan dengan bekerja dengan peneliti keamanan, penegak hukum, tim keamanan di Microsoft, dan lainnya.

Azure Pipelines

DevOps menganjurkan manajemen perubahan beban kerja melalui integrasi berkelanjutan dan pengiriman berkelanjutan (CI/CD). Pastikan untuk menambahkan validasi keamanan di alur. Ikuti panduan yang dijelaskan dalam Mengamankan Azure Pipelines.

Daftar periksa keamanan

Lihat serangkaian rekomendasi lengkap.

Daftar periksa keamanan