Tambahkan ke inteligensi ancaman di Microsoft Sentinel

• Berlaku untuk:

  Microsoft Sentinel in the Azure portal

Selama penyelidikan, Anda memeriksa entitas dan konteksnya sebagai bagian penting untuk memahami cakupan dan sifat insiden. Saat Anda menemukan entitas sebagai nama domain, URL, file, atau alamat IP berbahaya dalam insiden tersebut, entitas tersebut harus diberi label dan dilacak sebagai indikator kompromi (IOC) dalam inteligensi ancaman Anda.

Misalnya, Anda menemukan alamat IP yang melakukan pemindaian port di seluruh jaringan Anda, atau berfungsi sebagai node perintah dan kontrol, mengirim dan/atau menerima transmisi dari sejumlah besar simpul di jaringan Anda.

Microsoft Azure Sentinel memungkinkan Anda untuk menandai jenis entitas ini langsung dari dalam penyelidikan insiden Anda, dan menambahkannya ke inteligensi ancaman Anda. Anda dapat melihat indikator tambahan baik di Log maupun Inteligensi Ancaman, dan menggunakannya di seluruh ruang kerja Microsoft Azure Sentinel Anda.

Menambahkan entitas ke inteligensi ancaman Anda

Halaman detail insiden baru memberi Anda cara lain untuk menambahkan entitas ke inteligensi ancaman, selain grafik investigasi. Kedua cara ditunjukkan di bawah ini.

detail insiden

1. Dari menu navigasi Microsoft Sentinel, pilih Insiden.

2. Pilih insiden untuk diselidiki. Di panel detail insiden, pilih Tampilkan detail lengkap untuk membuka halaman detail insiden.

   

3. Temukan entitas dari widget Entitas yang ingin Anda tambahkan sebagai indikator ancaman. (Anda dapat memfilter daftar atau memasukkan string pencarian untuk membantu Anda menemukannya.)

4. Pilih tiga titik di sebelah kanan entitas, dan pilih Tambahkan ke TI dari menu pop-up.

   Hanya jenis entitas berikut yang dapat ditambahkan sebagai indikator ancaman:

   • Nama domain
   • Alamat IP (IPv4 dan IPv6)
   • URL
   • File (hash)

   

Grafik investigasi

Grafik investigasi adalah alat visual dan intuitif yang menyajikan koneksi dan pola serta memungkinkan analis Anda mengajukan pertanyaan yang tepat dan mengikuti petunjuk. Anda dapat menggunakannya untuk menambahkan entitas ke daftar indikator inteligensi ancaman Anda, membuatnya tersedia di seluruh ruang kerja Anda.

1. Dari menu navigasi Microsoft Sentinel, pilih Insiden.

2. Pilih insiden untuk diselidiki. Di panel detail insiden, pilih tombol Tindakan dan pilih Selidiki dari menu pop-up. Hal ini akan membuka grafik investigasi.

   

3. Pilih entitas dari grafik yang ingin Anda tambahkan sebagai indikator ancaman. Panel samping akan terbuka di sebelah kanan. Pilih Tambahkan ke TI.

   Hanya jenis entitas berikut yang dapat ditambahkan sebagai indikator ancaman:

   • Nama domain
   • Alamat IP (IPv4 dan IPv6)
   • URL
   • File (hash)

   

Mana pun dari dua antarmuka yang Anda pilih, Anda akan berakhir di sini:

1. Panel sisi Indikator baru akan terbuka. Bidang berikut akan diisi secara otomatis:

   • Jenis

     • Jenis indikator yang diwakili oleh entitas yang Anda tambahkan.
       Tarik-turun dengan nilai yang mungkin: ipv4-addr, ipv6-addr, URL, file, domain-name
     • Diperlukan; diisi secara otomatis berdasarkan jenis entitas.

   • Nilai

     • Nama bidang ini berubah secara dinamis menjadi jenis indikator terpilih.
     • Nilai indikator itu sendiri.
     • Diperlukan; diisi secara otomatis oleh nilai entitas.

   • Tag

     • Tag teks bebas yang dapat Anda tambahkan ke indikator.
     • Opsional; diisi secara otomatis oleh ID insiden. Anda dapat menambahkan yang lain.

   • Nama

     • Nama indikator—inilah yang akan ditampilkan dalam daftar indikator Anda.
     • Opsional; diisi secara otomatis oleh nama insiden.

   • Dibuat oleh

     • Pembuat indikator.
     • Opsional; secara otomatis diisi oleh pengguna yang masuk ke Microsoft Sentinel.

   Isi bidang yang tersisa sesuai dengan itu.

   • Jenis ancaman

     • Jenis ancaman yang diwakili oleh indikator .
     • Opsional; teks bebas.

   • Keterangan

     • Deskripsi indikator.
     • Opsional; teks bebas.

   • Dicabut

     • Status indikator yang dicabut. Tandai kotak centang untuk mencabut indikator, bersihkan kotak centang untuk membuatnya aktif.
     • Opsional, boolean.

   • Keyakinan

     • Skor mencerminkan keyakinan pada kebenaran data, berdasarkan persen.
     • Opsional; bilangan bulat, 1-100

   • Kill chain

     • Fase dalam Lockheed Martin Cyber Kill Chain yang sesuai dengan indikator.
     • Opsional; teks bebas

   • Valid dari

     • Waktu dari mana indikator ini dianggap valid.
     • Diperlukan; tanggal/waktu

   • Valid hingga

     • Waktu di mana indikator ini tidak boleh lagi dianggap valid.
     • Opsional; tanggal/waktu

   

2. Saat semua bidang diisi dengan kepuasan Anda, pilih Terapkan. Anda akan melihat pesan konfirmasi di sudut kanan atas bahwa indikator Anda telah dibuat.

3. Entitas akan ditambahkan sebagai indikator ancaman di ruang kerja Anda. Anda dapat menemukannya dalam daftar indikator di halaman Inteligensi ancaman, dan juga dalam tabel ThreatIntelligenceIndicators di Log.

Konten terkait

Dalam artikel ini, Anda telah mempelajari cara menambahkan entitas ke daftar indikator ancaman Anda. Untuk informasi selengkapnya, lihat:

• Selidiki insiden dengan Microsoft Sentinel
• Memahami inteligensi ancaman di Microsoft Azure Sentinel
• Bekerja dengan indikator ancaman di Microsoft Azure Sentinel