Otomatisasi di Microsoft Azure Sentinel: Orkestrasi keamanan, otomatisasi, dan respons (SOAR)
Tim security information and event management (SIEM) dan security operations center (SOC) biasanya dibanjiri dengan peringatan keamanan dan insiden secara teratur, pada volume yang sangat besar sehingga personel yang tersedia kewalahan. Hal ini sering menyebabkan banyaknya pemberitahuan yang diabaikan dan banyak insiden tidak diselidiki, sehingga organisasi rentan terhadap serangan yang luput dari perhatian.
Microsoft Sentinel, selain menjadi sistem SIEM, juga merupakan platform untuk orkestrasi keamanan, otomatisasi, dan respons (SOAR). Salah satu tujuan utamanya adalah untuk mengotomatiskan tugas pengayaan, respons, dan remediasi berulang dan dapat diprediksi yang merupakan tanggung jawab pusat operasi keamanan dan personel Anda (SOC/SecOps), membebaskan waktu dan sumber daya untuk penyelidikan yang lebih mendalam, dan berburu ancaman tingkat lanjut.
Artikel ini menjelaskan kemampuan SOAR Microsoft Sentinel, dan menunjukkan cara menggunakan aturan otomatisasi dan playbook sebagai respons terhadap ancaman keamanan meningkatkan efektivitas SOC Anda dan menghemat waktu dan sumber daya Anda.
Penting
Microsoft Sentinel sekarang tersedia secara umum dalam platform operasi keamanan terpadu Microsoft di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.
Aturan automasi
Microsoft Azure Sentinel menggunakan aturan otomatisasi untuk memungkinkan pengguna mengelola otomatisasi penanganan insiden dari lokasi pusat. Gunakan aturan otomatisasi untuk:
- Tetapkan otomatisasi tingkat lanjut ke insiden dan pemberitahuan, menggunakan playbook
- Menandai, menetapkan, atau menutup insiden secara otomatis tanpa playbook
- Mengotomatiskan respons untuk beberapa aturan analitik sekaligus
- Buat daftar tugas yang harus dilakukan analis Anda saat melakukan triaging, investigasi, dan remediasi insiden
- Mengontrol urutan tindakan yang dijalankan
Kami menyarankan agar Anda menerapkan aturan otomatisasi saat insiden dibuat atau diperbarui untuk lebih menyederhanakan otomatisasi dan menyederhanakan alur kerja yang kompleks untuk proses orkestrasi insiden Anda.
Untuk informasi selengkapnya, lihat Mengotomatiskan respons ancaman di Microsoft Azure Sentinel dengan aturan otomatisasi.
Pedoman
Playbook adalah kumpulan tindakan respons serta remediasi dan logika yang dapat dijalankan dari Microsoft Azure Sentinel sebagai rutinitas. Playbook dapat:
- Membantu mengotomatiskan dan mengatur respons ancaman Anda
- Integrasikan dengan sistem lain, baik internal maupun eksternal
- Dikonfigurasi untuk berjalan secara otomatis sebagai respons terhadap pemberitahuan atau insiden tertentu, atau berjalan secara manual sesuai permintaan, seperti sebagai respons terhadap pemberitahuan baru
Di Microsoft Azure Sentinel, playbook didasarkan pada alur kerja yang dibangun di Azure Logic Apps, layanan cloud yang membantu Anda menjadwalkan, mengotomatiskan, dan mengatur tugas dan alur kerja di seluruh sistem di seluruh perusahaan. Artinya, playbook dapat memanfaatkan semua kecanggihan fitur penyesuaian kemampuan integrasi dan orkestrasi Logic Apps. Selain itu, playbook juga dapat menggunakan alat desain yang mudah digunakan, serta skalabilitas, keandalan, dan tingkat layanan Tingkat 1 dari layanan Azure.
Untuk mengetahui informasi selengkapnya, lihat Mengotomatiskan respons ancaman dengan playbook di Microsoft Sentinel.
Otomatisasi dengan platform operasi keamanan terpadu
Setelah onboarding ruang kerja Microsoft Azure Sentinel Anda ke platform operasi keamanan terpadu, perhatikan perbedaan berikut dalam cara fungsi otomatisasi di ruang kerja Anda:
| Fungsionalitas | Deskripsi |
|---|---|
| Aturan otomatisasi dengan pemicu pemberitahuan | Di platform operasi keamanan terpadu, aturan otomatisasi dengan pemicu pemberitahuan hanya bertindak pada pemberitahuan Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Pemicu pembuatan pemberitahuan. |
| Aturan otomatisasi dengan pemicu insiden | Di platform operasi keamanan portal Azure dan terpadu, properti Kondisi penyedia insiden dihapus, karena semua insiden memiliki Microsoft Defender XDR sebagai penyedia insiden (nilai di bidang ProviderName). Pada saat itu, setiap aturan otomatisasi yang ada berjalan pada insiden Microsoft Sentinel dan Microsoft Defender XDR, termasuk aturan di mana kondisi penyedia Insiden hanya diatur ke Microsoft Sentinel atau Pertahanan Microsoft 365. Namun, aturan otomatisasi yang menentukan nama aturan analitik tertentu hanya berjalan pada insiden yang berisi pemberitahuan yang dibuat oleh aturan analitik yang ditentukan. Ini berarti Anda dapat menentukan properti kondisi nama aturan Analitik ke aturan analitik yang hanya ada di Microsoft Azure Sentinel untuk membatasi aturan Anda agar berjalan pada insiden hanya di Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Kondisi pemicu insiden. |
| Perubahan pada nama insiden yang ada | Di platform operasi SOC terpadu, portal Defender menggunakan mesin unik untuk menghubungkan insiden dan pemberitahuan. Saat onboarding ruang kerja Anda ke platform operasi SOC terpadu, nama insiden yang ada dapat diubah jika korelasi diterapkan. Untuk memastikan bahwa aturan otomatisasi Anda selalu berjalan dengan benar, kami sarankan Anda menghindari penggunaan judul insiden sebagai kriteria kondisi dalam aturan otomatisasi Anda, dan sarankan untuk menggunakan nama aturan analitik apa pun yang membuat pemberitahuan yang disertakan dalam insiden, dan tag jika diperlukan lebih banyak kekhususan. |
| Diperbarui menurut bidang | Untuk informasi selengkapnya, lihat Pemicu pembaruan insiden. |
| Aturan otomatisasi yang menambahkan tugas insiden | Jika aturan otomatisasi menambahkan tugas insiden, tugas hanya ditampilkan di portal Azure. |
| Aturan pembuatan insiden Microsoft | Aturan pembuatan insiden Microsoft tidak didukung di platform operasi keamanan terpadu. Untuk informasi selengkapnya, lihat Insiden Microsoft Defender XDR dan aturan pembuatan insiden Microsoft. |
| Menjalankan aturan otomatisasi dari portal Defender | Mungkin perlu waktu hingga 10 menit sejak pemberitahuan dipicu dan insiden dibuat atau diperbarui di portal Defender hingga saat aturan otomatisasi dijalankan. Jeda waktu ini adalah karena insiden dibuat di portal Defender dan kemudian diteruskan ke Microsoft Sentinel untuk aturan otomatisasi. |
| Tab playbook aktif | Setelah onboarding ke platform operasi keamanan terpadu, secara default tab Playbook aktif menunjukkan filter yang telah ditentukan sebelumnya dengan langganan ruang kerja onboarding. Di portal Azure, tambahkan data untuk langganan lain menggunakan filter langganan. Untuk informasi selengkapnya, lihat Membuat dan mengkustomisasi playbook Microsoft Azure Sentinel dari templat konten. |
| Menjalankan playbook secara manual sesuai permintaan | Prosedur berikut saat ini tidak didukung di platform operasi keamanan terpadu: |
| Menjalankan playbook pada insiden memerlukan sinkronisasi Microsoft Azure Sentinel | Jika Anda mencoba menjalankan playbook pada insiden dari platform operasi keamanan terpadu dan melihat pesan "Tidak dapat mengakses data yang terkait dengan tindakan ini. Refresh layar dalam beberapa menit." pesan, ini berarti bahwa insiden belum disinkronkan ke Microsoft Sentinel. Refresh halaman insiden setelah insiden disinkronkan agar berhasil menjalankan playbook. |
| Insiden: Menambahkan pemberitahuan ke insiden / Menghapus pemberitahuan dari insiden |
Karena menambahkan pemberitahuan ke, atau menghapus pemberitahuan dari insiden tidak didukung setelah onboarding ruang kerja Anda ke platform operasi keamanan terpadu, tindakan ini juga tidak didukung dari dalam playbook. Untuk informasi selengkapnya, lihat Perbedaan kemampuan antar portal. |