Security Orchestration, Automation, and Response (SOAR) di Microsoft Azure Sentinel
Artikel ini menjelaskan kemampuan Security Orchestration, Automation, and Response (SOAR) Microsoft Azure Sentinel, serta menunjukkan manfaat penggunaan aturan dan playbook otomatisasi sebagai respons terhadap ancaman keamanan dapat meningkatkan efektivitas SOC Anda serta menghemat waktu dan sumber daya Anda.
Penting
Microsoft Azure Sentinel tersedia sebagai bagian dari pratinjau publik untuk platform operasi keamanan terpadu di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.
Microsoft Azure Sentinel sebagai solusi SOAR
Masalahnya
Tim SIEM/SOC biasanya menerima banyak pemberitahuan keamanan dan insiden secara rutin dalam volume yang sangat besar sehingga personel yang ada merasa kewalahan. Hal ini sering menyebabkan banyaknya pemberitahuan yang diabaikan dan banyak insiden tidak diselidiki, sehingga organisasi rentan terhadap serangan yang luput dari perhatian.
Solusinya
Microsoft Azure Sentinel, selain menjadi sistem Security Information and Event Management (SIEM), juga merupakan platform untuk Security Orchestration, Automation, and Response (SOAR). Salah satu tujuan utamanya adalah untuk mengotomatiskan tugas pengayaan, respons, dan perbaikan berulang dan dapat diprediksi yang menjadi tanggung jawab Pusat Operasi Keamanan dan personel Anda (SOC/SecOps), sehingga menghemat waktu dan sumber daya untuk penyelidikan yang lebih mendalam serta pembasmian ancaman lanjutan. Otomatisasi memiliki berbagai bentuk di Microsoft Azure Sentinel, mulai dari aturan otomatisasi terpusat yang mengelola otomatisasi penanganan dan respons insiden, hingga playbook yang menjalankan serangkaian tindakan yang telah ditentukan guna menyediakan otomatisasi lanjutan yang kuat dan fleksibel untuk tugas respons ancaman Anda.
Aturan automasi
Aturan Automation memungkinkan pengguna mengelola automasi penanganan insiden secara terpusat. Selain memungkinkan Anda menetapkan playbook ke insiden dan pemberitahuan, aturan otomatisasi juga memungkinkan Anda mengotomatiskan respons untuk beberapa aturan analitik sekaligus, secara otomatis menandai, menetapkan, atau menutup insiden tanpa perlu playbook, membuat daftar tugas untuk dilakukan analis Anda saat melakukan triaging, menyelidiki, dan memulihkan insiden, dan mengontrol urutan tindakan yang dijalankan. Aturan otomatisasi juga memungkinkan Anda menerapkan otomatisasi saat insiden diperbarui, serta saat dibuat. Kemampuan baru ini akan semakin menyederhanakan penggunaan otomatisasi di Microsoft Sentinel dan akan memungkinkan Anda untuk menyederhanakan alur kerja yang kompleks untuk proses orkestrasi insiden Anda.
Pelajari hal ini lebih lanjut dengan penjelasan lengkap tentang aturan otomatisasi ini.
Pedoman
Playbook adalah kumpulan tindakan respons serta remediasi dan logika yang dapat dijalankan dari Microsoft Azure Sentinel sebagai rutinitas. Playbook dapat membantu mengotomatiskan dan mengatur respons ancaman Anda. Ia dapat diintegrasikan dengan sistem lain baik internal maupun eksternal, dan dapat diatur untuk dijalankan secara otomatis sebagai respons terhadap pemberitahuan atau insiden tertentu, ketika dipicu oleh aturan analitik atau aturan otomatisasi. Playbook juga dapat dijalankan secara manual sesuai permintaan, sebagai respons terhadap pemberitahuan, dari halaman insiden.
Playbook di Microsoft Azure Sentinel didasarkan pada alur kerja yang dirancang di Azure Logic Apps, yakni layanan cloud yang membantu Anda menjadwalkan, mengotomatiskan, serta mengatur tugas dan alur kerja di seluruh sistem di semua perusahaan. Artinya, playbook dapat memanfaatkan semua kecanggihan fitur penyesuaian kemampuan integrasi dan orkestrasi Logic Apps. Selain itu, playbook juga dapat menggunakan alat desain yang mudah digunakan, serta skalabilitas, keandalan, dan tingkat layanan Tingkat 1 dari layanan Azure.
Pelajari hal ini lebih lanjut dengan penjelasan lengkap tentang playbook ini.
Otomatisasi dengan platform operasi keamanan terpadu
Setelah onboarding ruang kerja Microsoft Azure Sentinel Anda ke platform operasi keamanan terpadu, perhatikan perbedaan berikut dalam cara fungsi otomatisasi di ruang kerja Anda:
| Fungsionalitas | Deskripsi |
|---|---|
| Aturan otomatisasi dengan pemicu pemberitahuan | Di platform operasi keamanan terpadu, aturan otomatisasi dengan pemicu pemberitahuan hanya bertindak pada pemberitahuan Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Pemicu pembuatan pemberitahuan. |
| Aturan otomatisasi dengan pemicu insiden | Di platform operasi keamanan portal Azure dan terpadu, properti Kondisi penyedia insiden dihapus, karena semua insiden memiliki Microsoft Defender XDR sebagai penyedia insiden (nilai di bidang ProviderName). Pada saat itu, setiap aturan otomatisasi yang ada berjalan pada insiden Microsoft Sentinel dan Microsoft Defender XDR, termasuk aturan di mana kondisi penyedia Insiden hanya diatur ke Microsoft Sentinel atau Pertahanan Microsoft 365. Namun, aturan otomatisasi yang menentukan nama aturan analitik tertentu hanya akan berjalan pada insiden yang dibuat oleh aturan analitik yang ditentukan. Ini berarti Anda dapat menentukan properti kondisi nama aturan Analitik ke aturan analitik yang hanya ada di Microsoft Azure Sentinel untuk membatasi aturan Anda agar berjalan pada insiden hanya di Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Kondisi pemicu insiden. |
| Perubahan pada nama insiden yang ada | Di platform operasi SOC terpadu, portal Defender menggunakan mesin unik untuk menghubungkan insiden dan pemberitahuan. Saat onboarding ruang kerja Anda ke platform operasi SOC terpadu, nama insiden yang ada dapat diubah jika korelasi diterapkan. Untuk memastikan bahwa aturan otomatisasi Anda selalu berjalan dengan benar, kami sarankan Anda menghindari penggunaan judul insiden dalam aturan otomatisasi Anda, dan sarankan penggunaan tag sebagai gantinya. |
| Diperbarui menurut bidang | Untuk informasi selengkapnya, lihat Pemicu pembaruan insiden. |
| Aturan otomatisasi yang menambahkan tugas insiden | Jika aturan otomatisasi menambahkan tugas insiden, tugas hanya ditampilkan di portal Azure. |
| Aturan pembuatan insiden Microsoft | Aturan pembuatan insiden Microsoft tidak didukung di platform operasi keamanan terpadu. Untuk informasi selengkapnya, lihat Insiden Microsoft Defender XDR dan aturan pembuatan insiden Microsoft. |
| Menjalankan aturan otomatisasi dari portal Defender | Mungkin perlu waktu hingga 10 menit sejak pemberitahuan dipicu dan insiden dibuat atau diperbarui di portal Defender hingga saat aturan otomatisasi dijalankan. Jeda waktu ini adalah karena insiden dibuat di portal Defender dan kemudian diteruskan ke Microsoft Sentinel untuk aturan otomatisasi. |
| Tab playbook aktif | Setelah onboarding ke platform operasi keamanan terpadu, secara default tab Playbook aktif menunjukkan filter yang telah ditentukan sebelumnya dengan langganan ruang kerja onboarding. Tambahkan data untuk langganan lain menggunakan filter langganan. Untuk informasi selengkapnya, lihat Membuat dan mengkustomisasi playbook Microsoft Azure Sentinel dari templat konten. |
| Menjalankan playbook secara manual sesuai permintaan | Prosedur berikut saat ini tidak didukung di platform operasi keamanan terpadu: |
| Menjalankan playbook pada insiden memerlukan sinkronisasi Microsoft Azure Sentinel | Jika Anda mencoba menjalankan playbook pada insiden dari platform operasi keamanan terpadu dan melihat pesan "Tidak dapat mengakses data yang terkait dengan tindakan ini. Refresh layar dalam beberapa menit." pesan, ini berarti bahwa insiden belum disinkronkan ke Microsoft Sentinel. Refresh halaman insiden setelah insiden disinkronkan agar berhasil menjalankan playbook. |
Langkah berikutnya
Dalam dokumen ini, Anda telah mempelajari cara Microsoft Azure Sentinel menggunakan otomatisasi untuk membantu SOC Anda beroperasi lebih efektif dan efisien.
- Untuk mempelajari otomatisasi penanganan insiden, lihat Mengotomatiskan penanganan insiden di Microsoft Azure Sentinel.
- Untuk mempelajari lebih lanjut opsi otomatisasi tingkat lanjut, lihat Mengotomatiskan respons ancaman dengan playbook di Microsoft Azure Sentinel.
- Untuk mulai membuat aturan otomatisasi, lihat Membuat dan menggunakan aturan otomatisasi Microsoft Sentinel untuk mengelola insiden
- Untuk bantuan dalam menerapkan otomatisasi tingkat lanjut dengan playbook, lihat Tutorial: Menggunakan playbook untuk mengotomatiskan respons ancaman di Microsoft Azure Sentinel.