Bagikan melalui

Mengotomatiskan respons ancaman dengan playbook di Microsoft Azure Sentinel

  • Artikel
  • Berlaku untuk:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Analis SOC menangani banyak peringatan dan insiden keamanan, dan volume tipis dapat membantai tim, yang mengarah ke pemberitahuan yang diabaikan dan insiden yang tidak diinvestigasi. Banyak pemberitahuan dan insiden dapat diatasi oleh serangkaian tindakan remediasi yang telah ditentukan sebelumnya, yang dapat diotomatisasi untuk membuat SOC lebih efisien dan membebaskan analis untuk penyelidikan yang lebih mendalam.

Gunakan playbook Microsoft Sentinel untuk menjalankan serangkaian tindakan remediasi yang telah dikonfigurasi sebelumnya untuk membantu mengotomatiskan dan mengatur respons ancaman Anda. Jalankan playbook secara otomatis, sebagai respons terhadap pemberitahuan dan insiden tertentu yang memicu aturan otomatisasi yang dikonfigurasi, atau secara manual dan sesuai permintaan untuk entitas atau pemberitahuan tertentu.

Misalnya, jika akun dan mesin disusupi, playbook dapat secara otomatis mengisolasi komputer dari jaringan dan memblokir akun pada saat tim SOC diberi tahu tentang insiden tersebut.

Catatan

Karena playbook menggunakan Azure Logic Apps, biaya tambahan mungkin berlaku. Buka halaman harga Azure Logic Apps untuk mengetahui detail selengkapnya.

Penting

Microsoft Azure Sentinel tersedia sebagai bagian dari platform operasi keamanan terpadu di portal Pertahanan Microsoft. Microsoft Sentinel di portal Defender sekarang didukung untuk penggunaan produksi. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Tabel berikut mencantumkan kasus penggunaan tingkat tinggi di mana sebaiknya gunakan playbook Microsoft Azure Sentinel untuk mengotomatiskan respons ancaman Anda:

Gunakan huruf besar Deskripsi
Pengayaan Kumpulkan data dan lampirkan ke insiden untuk membantu tim Anda membuat keputusan yang lebih cerdas.
Sinkronisasi dua arah Sinkronkan insiden Microsoft Azure Sentinel dengan sistem tiket lainnya. Misalnya, buat aturan otomatisasi untuk semua pembuatan insiden, dan lampirkan playbook yang membuka tiket di ServiceNow.
Orkestrasi Gunakan platform obrolan tim SOC untuk mengontrol antrean insiden dengan lebih baik. Misalnya, kirim pesan ke saluran operasi keamanan Anda di Microsoft Teams atau Slack untuk memastikan analis keamanan Anda mengetahui insiden tersebut.
Respons Segera menanggapi ancaman, dengan dependensi manusia minimal, seperti ketika pengguna atau mesin yang disusupi ditunjukkan. Secara bergantian, secara manual memicu serangkaian langkah otomatis selama penyelidikan atau saat berburu.

Untuk informasi selengkapnya, lihat Kasus penggunaan playbook, templat, dan contoh yang direkomendasikan.

Prasyarat

Peran berikut diperlukan untuk menggunakan Azure Logic Apps untuk membuat dan menjalankan playbook di Microsoft Azure Sentinel.

Peran Deskripsi
Pemilik Memungkinkan Anda memberikan akses ke playbook di grup sumber daya.
Kontributor Aplikasi Logika Memungkinkan Anda mengelola aplikasi logika dan menjalankan playbook. Tidak memungkinkan Anda untuk memberikan akses ke playbook.
Operator Aplikasi Logika Memungkinkan Anda membaca, mengaktifkan, dan menonaktifkan aplikasi logika. Tidak memungkinkan Anda mengedit atau memperbarui aplikasi logika.
Kontributor Microsoft Azure Sentinel Memungkinkan Anda melampirkan playbook ke analitik atau aturan otomatisasi.
Penanggap Microsoft Azure Sentinel Memungkinkan Anda mengakses insiden untuk menjalankan playbook secara manual, tetapi tidak memungkinkan Anda untuk menjalankan playbook.
Microsoft Sentinel Playbook Operator Memungkinkan Anda menjalankan playbook secara manual.
Kontributor Automasi Microsoft Azure Sentinel Memungkinkan aturan otomatisasi untuk menjalankan playbook. Peran ini tidak digunakan untuk tujuan lain.

Tab Playbook aktif di halaman Automation menampilkan semua playbook aktif yang tersedia di semua langganan yang dipilih. Secara default, playbook hanya dapat digunakan dalam langganan tempat playbook berada, kecuali Anda secara khusus memberikan izin Microsoft Azure Sentinel ke grup sumber daya playbook.

Izin tambahan yang diperlukan microsoft Azure Sentinel untuk menjalankan playbook

Microsoft Sentinel menggunakan akun layanan untuk menjalankan playbook pada insiden, untuk menambahkan keamanan dan mengaktifkan API aturan otomatisasi untuk mendukung kasus penggunaan CI/CD. Akun layanan ini digunakan untuk playbook yang dipicu insiden, atau saat Anda menjalankan playbook secara manual pada insiden tertentu.

Selain peran dan izin Anda sendiri, akun layanan Microsoft Azure Sentinel ini harus memiliki serangkaian izin sendiri pada grup sumber daya tempat playbook berada, dalam bentuk peran Kontributor Otomatisasi Microsoft Sentinel. Setelah Microsoft Sentinel memiliki peran ini, Microsoft Azure Sentinel dapat menjalankan playbook apa pun di grup sumber daya yang relevan, secara manual atau dari aturan otomatisasi.

Untuk memberi Microsoft Azure Sentinel izin yang diperlukan, Anda harus memiliki peran administrator akses Pemilik atau Pengguna. Untuk menjalankan playbook, Anda juga memerlukan peran Kontributor Aplikasi Logika pada grup sumber daya yang berisi playbook yang ingin Anda jalankan.

Templat playbook (pratinjau)

Penting

Templat playbook saat ini dalam PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk ketentuan hukum tambahan yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Templat playbook adalah alur kerja bawaan, diuji, dan siap digunakan yang tidak dapat digunakan sebagai playbook itu sendiri, tetapi siap untuk Anda sesuaikan untuk memenuhi kebutuhan Anda. Kami juga menyarankan agar Anda menggunakan templat playbook sebagai referensi praktik terbaik saat mengembangkan playbook dari awal, atau sebagai inspirasi untuk skenario otomatisasi baru.

Akses templat playbook dari sumber berikut:

Location Deskripsi
Halaman Otomatisasi Microsoft Azure Sentinel Tab Templat Playbook mencantumkan semua playbook yang diinstal. Buat satu atau beberapa playbook aktif menggunakan templat yang sama.

Saat kami menerbitkan versi baru templat, playbook aktif apa pun yang dibuat dari templat tersebut memiliki label tambahan yang ditambahkan di tab Playbook aktif untuk menunjukkan bahwa pembaruan tersedia.
Halaman hub Konten Microsoft Azure Sentinel Templat playbook tersedia sebagai bagian dari solusi produk atau konten mandiri yang diinstal dari hub Konten.

Untuk mengetahui informasi selengkapnya, silakan lihat:
Tentang konten dan solusi Microsoft Azure Sentinel
Menemukan dan mengelola konten out-of-the-box Microsoft Azure Sentinel
GitHub Repositori GitHub Microsoft Sentinel berisi banyak templat playbook lainnya. Pilih Sebarkan ke Azure untuk menyebarkan templat ke langganan Azure Anda.

Secara teknis, templat playbook adalah templat Azure Resource Manager (ARM), yang terdiri dari beberapa sumber daya: alur kerja Azure Logic Apps dan koneksi API untuk setiap koneksi yang terlibat.

Untuk informasi selengkapnya, lihat:

Pembuatan playbook dan alur kerja penggunaan

Gunakan alur kerja berikut untuk membuat dan menjalankan playbook Microsoft Azure Sentinel:

  1. Tentukan skenario otomatisasi Anda. Kami menyarankan agar Anda meninjau kasus penggunaan playbook dan templat playbook yang direkomendasikan untuk memulai.

  2. Jika Anda tidak menggunakan templat, buat playbook dan buat aplikasi logika Anda. Untuk informasi selengkapnya, lihat Membuat dan mengelola playbook Microsoft Azure Sentinel.

    Uji aplikasi logika Anda dengan menjalankannya secara manual. Untuk informasi selengkapnya, lihat Menjalankan playbook secara manual sesuai permintaan.

  3. Konfigurasikan playbook Anda untuk berjalan secara otomatis pada pemberitahuan atau pembuatan insiden baru, atau jalankan secara manual sesuai kebutuhan untuk proses Anda. Untuk informasi selengkapnya, lihat Merespons ancaman dengan playbook Microsoft Azure Sentinel.

Konten terkait